Общий подписанный инструмент с внутренним именем: Nthandle был переименован в ttb.exe.

Я расследую некоторые недавние инциденты, о которых сообщалось в Microsoft Defender, и информация об инцидентах показана ниже. Есть ли повод для беспокойства? Я не смог найти много информации о «ttb», но похоже, что это связано с панелью задач Windows?

Инцидент уклонения от защиты на одной конечной точке

Путь к файлу образа: C:\Program Files (x86)\Chrometa\ttb.exe

ttb.exe ttb -a "Открытие"

Общий подписанный инструмент с внутренним именем: Nthandle был переименован в ttb.exe.

Попытка скрыть использование инструмента двойного назначения

MITRE ATT&CK Техники: T1036: Маскарадинг

Известный общедоступный инструмент, который также мог быть использован в злонамеренных целях, был обнаружен под непредвиденным именем файла. Это может быть попыткой скрыть использование этого инструмента в злонамеренных целях. Идентификатор расследования: инструмент Windows Sysinternals переименованСтатус расследования: Угрозы не обнаружены ttb.exe ttb -a "Word" Инструмент с общей подписью и внутренним именем: Nthandle был переименован в ttb.exe Попытка скрыть использование инструмента двойного назначения ttb64.exe ttb -a "Word" Инструмент Windows Sysinternals переименован Инструмент Windows Sysinternals был переименован, а затем запущен. Возможно, это была попытка тайно использовать инструмент в злонамеренных целях. ttb64.exe ttb -a "Анализ модели столбцов 20220308 165524" Средство Windows Sysinternals переименовано Средство Windows Sysinternals было переименовано, а затем запущено. Возможно, это была попытка тайно использовать инструмент в злонамеренных целях. ttb.exe ttb -a «Предварительное расписание Astor — Размер шрифта увеличен. exe ttb -a «Предварительное расписание Astor — Размер шрифта увеличен. Возможно, это была попытка тайно использовать инструмент в злонамеренных целях.