Potential Defense Evasion Activity Via Emoji Usage In CommandLine - 4
Detects the usage of emojis in the command line, this could be a sign of potential defense evasion activity.
Sigma rule (View on GitHub)
1title: Potential Defense Evasion Activity Via Emoji Usage In CommandLine - 4
2id: 225274c4-8dd1-40db-9e09-71dff4f6fb3c
3status: test
4description: Detects the usage of emojis in the command line, this could be a sign of potential defense evasion activity.
5author: '@Kostastsale, TheDFIRReport'
6references:
7 - Internal Research
8tags:
9 - attack.defense-evasion
10date: 2022-12-05
11logsource:
12 product: windows
13 category: process_creation
14detection:
15 selection:
16 CommandLine|contains:
17 - '๐ธ'
18 - '๐น'
19 - '๐ถ'
20 - '๐ท'
21 - '๐ณ'
22 - '๐ฒ'
23 - 'โช๏ธ'
24 - 'โซ๏ธ'
25 - 'โพ๏ธ'
26 - 'โฝ๏ธ'
27 - 'โผ๏ธ'
28 - 'โป๏ธ'
29 - '๐ฅ'
30 - '๐ง'
31 - '๐จ'
32 - '๐ฉ'
33 - '๐ฆ'
34 - '๐ช'
35 - 'โฌ๏ธ'
36 - 'โฌ๏ธ'
37 - '๐ซ'
38 - '๐'
39 - '๐'
40 - '๐'
41 - '๐'
42 - '๐'
43 - '๐'
44 - '๐ฃ'
45 - '๐ข'
46 - '๐โ๐จ'
47 - '๐ฌ'
48 - '๐ญ'
49 - '๐ฏ'
50 - 'โ ๏ธ'
51 - 'โฃ๏ธ'
52 - 'โฅ๏ธ'
53 - 'โฆ๏ธ'
54 - '๐'
55 - '๐ด'
56 - '๐๏ธ'
57 - '๐'
58 - '๐'
59 - '๐'
60 - '๐'
61 - '๐'
62 - '๐'
63 - '๐'
64 - '๐'
65 - '๐'
66 - '๐'
67 - '๐'
68 - '๐'
69 - '๐'
70 - '๐'
71 - '๐'
72 - '๐'
73 - '๐ '
74 - '๐ก'
75 - '๐ข'
76 - '๐ฃ'
77 - '๐ค'
78 - '๐ฅ'
79 - '๐ฆ'
80 - '๐งโข'
81 - 'โฃ'
82 - 'โค'
83 - 'โฅ'
84 - 'โฆ'
85 - 'โง'
86 - 'โ
'
87 - 'โ'
88 - 'โฏ'
89 - 'โก๏ธ'
90 - 'โฉ'
91 - 'โช'
92 - 'โซ'
93 - 'โฌ'
94 - 'โญ'
95 - 'โฎ'
96 - 'โถ'
97 - 'โท'
98 - 'โต'
99 - 'โธ'
100 - 'โน'
101 - 'โ'
102 - 'โ'
103 - 'โน'
104 - 'โจ'
105 - 'โพ'
106 - 'โพ'
107 - 'โข'
108 - 'โ'
109 - 'โ'
110 - 'โ'
111 - 'โ'
112 - 'โ'
113 - 'โ'
114 - 'โ'
115 - 'โ'
116 - 'โ ๏ธ'
117 - 'โฃ๏ธ'
118 - 'โฅ๏ธ'
119 - 'โฆ๏ธ'
120 - 'โค'
121 - 'โง'
122 - 'โก'
123 - 'โข'
124 - 'โ'
125 - 'โ'
126 - 'โ'
127 - 'โ'
128 - 'โ'
129 - 'โ'
130 - 'โ'
131 - 'โ'
132 - 'โ'
133 - 'โ'
134 - 'โ'
135 - 'โ'
136 - 'โ'
137 - 'โ'
138 - 'โ'
139 - 'โ'
140 - 'โ'
141 - 'โ
'
142 - '๐ '
143 - 'โ'
144 - 'โ'
145 - 'โ'
146 - 'โ'
147 - '๐'
148 - '๐'
149 - '๐'
150 - '๐'
151 - '๐'
152 - '๐
'
153 - '๐'
154 - '๐'
155 - '๐'
156 - '๐'
157 - '๐'
158 - '๐'
159 - '๐'
160 - '๐'
161 - '๐'
162 - '๐'
163 - '๐'
164 - '๐'
165 - '๐'
166 - '๐'
167 - '๐'
168 - '๐'
169 - '๐'
170 - '๐'
171 - '๐'
172 - '๐'
173 - '๐'
174 - '๐'
175 - '๐'
176 - '๐๐ณ๏ธ'
177 - '๐ด'
178 - '๐'
179 - '๐ฉ'
180 - '๐ณ๏ธโ๐'
181 - '๐ณ๏ธโโง๏ธ'
182 - '๐ดโโ ๏ธ'
183 - '๐ฆ๐ซ'
184 - '๐ฆ๐ฝ'
185 - '๐ฆ๐ฑ'
186 - '๐ฉ๐ฟ'
187 - '๐ฆ๐ธ'
188 - '๐ฆ๐ฉ'
189 - '๐ฆ๐ด'
190 - '๐ฆ๐ฎ'
191 - '๐ฆ๐ถ'
192 - '๐ฆ๐ฌ'
193 - '๐ฆ๐ท'
194 - '๐ฆ๐ฒ'
195 - '๐ฆ๐ผ'
196 - '๐ฆ๐บ'
197 - '๐ฆ๐น'
198 - '๐ฆ๐ฟ'
199 - '๐ง๐ธ'
200 - '๐ง๐ญ'
201 - '๐ง๐ฉ'
202 - '๐ง๐ง'
203 - '๐ง๐พ'
204 - '๐ง๐ช'
205 - '๐ง๐ฟ'
206 - '๐ง๐ฏ'
207 - '๐ง๐ฒ'
208 - '๐ง๐น'
209 - '๐ง๐ด'
210 - '๐ง๐ฆ'
211 - '๐ง๐ผ'
212 - '๐ง๐ท'
213 - '๐ฎ๐ด'
214 - '๐ป๐ฌ'
215 - '๐ง๐ณ'
216 - '๐ง๐ฌ'
217 - '๐ง๐ซ'
218 - '๐ง๐ฎ'
219 - '๐ฐ๐ญ'
220 - '๐จ๐ฒ'
221 - '๐จ๐ฆ'
222 - '๐ฎ๐จ'
223 - '๐จ๐ป'
224 - '๐ง๐ถ'
225 - '๐ฐ๐พ'
226 - '๐จ๐ซ'
227 - '๐น๐ฉ'
228 - '๐จ๐ฑ'
229 - '๐จ๐ณ'
230 - '๐จ๐ฝ'
231 - '๐จ๐จ'
232 - '๐จ๐ด'
233 - '๐ฐ๐ฒ'
234 - '๐จ๐ฌ'
235 - '๐จ๐ฉ'
236 - '๐จ๐ฐ'
237 - '๐จ๐ท'
238 - '๐จ๐ฎ'
239 - '๐ญ๐ท'
240 - '๐จ๐บ'
241 - '๐จ๐ผ'
242 - '๐จ๐พ'
243 - '๐จ๐ฟ'
244 - '๐ฉ๐ฐ'
245 - '๐ฉ๐ฏ'
246 - '๐ฉ๐ฒ'
247 - '๐ฉ๐ด'
248 - '๐ช๐จ'
249 - '๐ช๐ฌ'
250 - '๐ธ๐ป'
251 - '๐ฌ๐ถ'
252 - '๐ช๐ท'
253 - '๐ช๐ช'
254 - '๐ช๐น'
255 - '๐ช๐บ'
256 - '๐ซ๐ฐ'
257 - '๐ซ๐ด'
258 - '๐ซ๐ฏ'
259 - '๐ซ๐ฎ'
260 - '๐ซ๐ท'
261 - '๐ฌ๐ซ'
262 - '๐ต๐ซ'
263 - '๐น๐ซ'
264 - '๐ฌ๐ฆ'
265 - '๐ฌ๐ฒ'
266 - '๐ฌ๐ช'
267 - '๐ฉ๐ช'
268 - '๐ฌ๐ญ'
269 - '๐ฌ๐ฎ'
270 - '๐ฌ๐ท'
271 - '๐ฌ๐ฑ'
272 - '๐ฌ๐ฉ'
273 - '๐ฌ๐ต'
274 - '๐ฌ๐บ'
275 - '๐ฌ๐น'
276 - '๐ฌ๐ฌ'
277 - '๐ฌ๐ณ'
278 - '๐ฌ๐ผ'
279 - '๐ฌ๐พ'
280 - '๐ญ๐น'
281 - '๐ญ๐ณ'
282 - '๐ญ๐ฐ'
283 - '๐ญ๐บ'
284 - '๐ฎ๐ธ'
285 - '๐ฎ๐ณ'
286 - '๐ฎ๐ฉ'
287 - '๐ฎ๐ท'
288 - '๐ฎ๐ถ'
289 - '๐ฎ๐ช'
290 - '๐ฎ๐ฒ'
291 - '๐ฎ๐ฑ'
292 - '๐ฎ๐น'
293 - '๐ฏ๐ฒ'
294 - '๐ฏ๐ต'
295 - '๐'
296 - '๐ฏ๐ช'
297 - '๐ฏ๐ด'
298 - '๐ฐ๐ฟ'
299 - '๐ฐ๐ช'
300 - '๐ฐ๐ฎ'
301 - '๐ฝ๐ฐ'
302 - '๐ฐ๐ผ'
303 - '๐ฐ๐ฌ'
304 - '๐ฑ๐ฆ'
305 - '๐ฑ๐ป'
306 - '๐ฑ๐ง'
307 - '๐ฑ๐ธ'
308 - '๐ฑ๐ท'
309 - '๐ฑ๐พ'
310 - '๐ฑ๐ฎ'
311 - '๐ฑ๐น'
312 - '๐ฑ๐บ'
313 - '๐ฒ๐ด'
314 - '๐ฒ๐ฐ'
315 - '๐ฒ๐ฌ'
316 - '๐ฒ๐ผ'
317 - '๐ฒ๐พ'
318 - '๐ฒ๐ป'
319 - '๐ฒ๐ฑ'
320 - '๐ฒ๐น'
321 - '๐ฒ๐ญ'
322 - '๐ฒ๐ถ'
323 - '๐ฒ๐ท'
324 - '๐ฒ๐บ'
325 - '๐พ๐น'
326 - '๐ฒ๐ฝ'
327 - '๐ซ๐ฒ'
328 - '๐ฒ๐ฉ'
329 - '๐ฒ๐จ'
330 - '๐ฒ๐ณ'
331 - '๐ฒ๐ช'
332 - '๐ฒ๐ธ'
333 - '๐ฒ๐ฆ'
334 - '๐ฒ๐ฟ'
335 - '๐ฒ๐ฒ'
336 - '๐ณ๐ฆ'
337 - '๐ณ๐ท'
338 - '๐ณ๐ต'
339 - '๐ณ๐ฑ'
340 - '๐ณ๐จ'
341 - '๐ณ๐ฟ'
342 - '๐ณ๐ฎ'
343 - '๐ณ๐ช'
344 - '๐ณ๐ฌ'
345 - '๐ณ๐บ'
346 - '๐ณ๐ซ'
347 - '๐ฐ๐ต'
348 - '๐ฒ๐ต'
349 - '๐ณ๐ด'
350 - '๐ด๐ฒ'
351 - '๐ต๐ฐ'
352 - '๐ต๐ผ'
353 - '๐ต๐ธ'
354 - '๐ต๐ฆ'
355 - '๐ต๐ฌ'
356 - '๐ต๐พ'
357 - '๐ต๐ช'
358 - '๐ต๐ญ'
359 - '๐ต๐ณ'
360 - '๐ต๐ฑ'
361 - '๐ต๐น'
362 - '๐ต๐ท'
363 - '๐ถ๐ฆ'
364 - '๐ท๐ช'
365 - '๐ท๐ด'
366 - '๐ท๐บ'
367 - '๐ท๐ผ'
368 - '๐ผ๐ธ'
369 - '๐ธ๐ฒ'
370 - '๐ธ๐ฆ'
371 - '๐ธ๐ณ'
372 - '๐ท๐ธ'
373 - '๐ธ๐จ'
374 - '๐ธ๐ฑ'
375 - '๐ธ๐ฌ'
376 - '๐ธ๐ฝ'
377 - '๐ธ๐ฐ'
378 - '๐ธ๐ฎ'
379 - '๐ฌ๐ธ'
380 - '๐ธ๐ง'
381 - '๐ธ๐ด'
382 - '๐ฟ๐ฆ'
383 - '๐ฐ๐ท'
384 - '๐ธ๐ธ'
385 - '๐ช๐ธ'
386 - '๐ฑ๐ฐ'
387 - '๐ง๐ฑ'
388 - '๐ธ๐ญ'
389 - '๐ฐ๐ณ'
390 - '๐ฑ๐จ'
391 - '๐ต๐ฒ'
392 - '๐ป๐จ'
393 - '๐ธ๐ฉ'
394 - '๐ธ๐ท'
395 - '๐ธ๐ฟ'
396 - '๐ธ๐ช'
397 - '๐จ๐ญ'
398 - '๐ธ๐พ'
399 - '๐น๐ผ'
400 - '๐น๐ฏ'
401 - '๐น๐ฟ'
402 - '๐น๐ญ'
403 - '๐น๐ฑ'
404 - '๐น๐ฌ'
405 - '๐น๐ฐ'
406 - '๐น๐ด'
407 - '๐น๐น'
408 - '๐น๐ณ'
409 - '๐น๐ท'
410 - '๐น๐ฒ'
411 - '๐น๐จ'
412 - '๐น๐ป'
413 - '๐ป๐ฎ'
414 - '๐บ๐ฌ'
415 - '๐บ๐ฆ'
416 - '๐ฆ๐ช'
417 - '๐ฌ๐ง'
418 - '๐ด๓ ง๓ ข๓ ฅ๓ ฎ๓ ง๓ ฟ'
419 - '๐ด๓ ง๓ ข๓ ณ๓ ฃ๓ ด๓ ฟ'
420 - '๐ด๓ ง๓ ข๓ ท๓ ฌ๓ ณ๓ ฟ'
421 - '๐บ๐ณ'
422 - '๐บ๐ธ'
423 - '๐บ๐พ'
424 - '๐บ๐ฟ'
425 - '๐ป๐บ'
426 - '๐ป๐ฆ'
427 - '๐ป๐ช'
428 - '๐ป๐ณ'
429 - '๐ผ๐ซ'
430 - '๐ช๐ญ'
431 - '๐พ๐ช'
432 - '๐ฟ๐ฒ'
433 - '๐ฟ๐ผ๐ซ '
434 - '๐ซข'
435 - '๐ซฃ'
436 - '๐ซก'
437 - '๐ซฅ'
438 - '๐ซค'
439 - '๐ฅน'
440 - '๐ซฑ'
441 - '๐ซฑ๐ป'
442 - '๐ซฑ๐ผ'
443 - '๐ซฑ๐ฝ'
444 - '๐ซฑ๐พ'
445 - '๐ซฑ๐ฟ'
446 - '๐ซฒ'
447 - '๐ซฒ๐ป'
448 - '๐ซฒ๐ผ'
449 - '๐ซฒ๐ฝ'
450 - '๐ซฒ๐พ'
451 - '๐ซฒ๐ฟ'
452 - '๐ซณ'
453 - '๐ซณ๐ป'
454 - '๐ซณ๐ผ'
455 - '๐ซณ๐ฝ'
456 - '๐ซณ๐พ'
457 - '๐ซณ๐ฟ'
458 - '๐ซด'
459 - '๐ซด๐ป'
460 - '๐ซด๐ผ'
461 - '๐ซด๐ฝ'
462 - '๐ซด๐พ'
463 - '๐ซด๐ฟ'
464 - '๐ซฐ'
465 - '๐ซฐ๐ป'
466 - '๐ซฐ๐ผ'
467 - '๐ซฐ๐ฝ'
468 - '๐ซฐ๐พ'
469 - '๐ซฐ๐ฟ'
470 - '๐ซต'
471 - '๐ซต๐ป'
472 - '๐ซต๐ผ'
473 - '๐ซต๐ฝ'
474 - '๐ซต๐พ'
475 - '๐ซต๐ฟ'
476 - '๐ซถ'
477 - '๐ซถ๐ป'
478 - '๐ซถ๐ผ'
479 - '๐ซถ๐ฝ'
480 - '๐ซถ๐พ'
481 - '๐ซถ๐ฟ'
482 - '๐ค๐ป'
483 - '๐ค๐ผ'
484 - '๐ค๐ฝ'
485 - '๐ค๐พ'
486 - '๐ค๐ฟ'
487 - '๐ซฑ๐ปโ๐ซฒ๐ผ'
488 - '๐ซฑ๐ปโ๐ซฒ๐ฝ'
489 - '๐ซฑ๐ปโ๐ซฒ๐พ'
490 - '๐ซฑ๐ปโ๐ซฒ๐ฟ'
491 - '๐ซฑ๐ผโ๐ซฒ๐ป'
492 - '๐ซฑ๐ผโ๐ซฒ๐ฝ'
493 - '๐ซฑ๐ผโ๐ซฒ๐พ'
494 - '๐ซฑ๐ผโ๐ซฒ๐ฟ'
495 - '๐ซฑ๐ฝโ๐ซฒ๐ป'
496 - '๐ซฑ๐ฝโ๐ซฒ๐ผ'
497 - '๐ซฑ๐ฝโ๐ซฒ๐พ'
498 - '๐ซฑ๐ฝโ๐ซฒ๐ฟ'
499 - '๐ซฑ๐พโ๐ซฒ๐ป'
500 - '๐ซฑ๐พโ๐ซฒ๐ผ'
501 - '๐ซฑ๐พโ๐ซฒ๐ฝ'
502 - '๐ซฑ๐พโ๐ซฒ๐ฟ'
503 - '๐ซฑ๐ฟโ๐ซฒ๐ป'
504 - '๐ซฑ๐ฟโ๐ซฒ๐ผ'
505 - '๐ซฑ๐ฟโ๐ซฒ๐ฝ'
506 - '๐ซฑ๐ฟโ๐ซฒ๐พ'
507 - '๐ซฆ'
508 - '๐ซ
'
509 - '๐ซ
๐ป'
510 - '๐ซ
๐ผ'
511 - '๐ซ
๐ฝ'
512 - '๐ซ
๐พ'
513 - '๐ซ
๐ฟ'
514 - '๐ซ'
515 - '๐ซ๐ป'
516 - '๐ซ๐ผ'
517 - '๐ซ๐ฝ'
518 - '๐ซ๐พ'
519 - '๐ซ๐ฟ'
520 - '๐ซ'
521 - '๐ซ๐ป'
522 - '๐ซ๐ผ'
523 - '๐ซ๐ฝ'
524 - '๐ซ๐พ'
525 - '๐ซ๐ฟ'
526 - '๐ง'
527 - '๐ชธ'
528 - '๐ชท'
529 - '๐ชน'
530 - '๐ชบ'
531 - '๐ซ'
532 - '๐ซ'
533 - '๐ซ'
534 - '๐'
535 - '๐'
536 - '๐'
537 - '๐ชฌ'
538 - '๐ชฉ'
539 - '๐ชซ'
540 - '๐ฉผ'
541 - '๐ฉป'
542 - '๐ซง'
543 - '๐ชช'
544 - '๐ฐ'
545 - '๐ฎโ๐จ'
546 - '๐ตโ๐ซ'
547 - '๐ถโ๐ซ๏ธ'
548 - 'โค๏ธโ๐ฅ'
549 - 'โค๏ธโ๐ฉน'
550 - '๐งโโ๏ธ'
551 - '๐ง๐ปโโ๏ธ'
552 - '๐ง๐ผโโ๏ธ'
553 - '๐ง๐ฝโโ๏ธ'
554 - '๐ง๐พโโ๏ธ'
555 - '๐ง๐ฟโโ๏ธ'
556 - '๐งโโ๏ธ'
557 - '๐ง๐ปโโ๏ธ'
558 - '๐ง๐ผโโ๏ธ'
559 - '๐ง๐ฝโโ๏ธ'
560 - '๐ง๐พโโ๏ธ'
561 - '๐ง๐ฟโโ๏ธ'
562 - '๐๐ป'
563 - '๐๐ผ'
564 - '๐๐ฝ'
565 - '๐๐พ'
566 - '๐๐ฟ'
567 - '๐๐ป'
568 - '๐๐ผ'
569 - '๐๐ฝ'
570 - '๐๐พ'
571 - '๐๐ฟ'
572 - '๐จ๐ปโโค๏ธโ๐จ๐ป'
573 - '๐จ๐ปโโค๏ธโ๐จ๐ผ'
574 - '๐จ๐ปโโค๏ธโ๐จ๐ฝ'
575 - '๐จ๐ปโโค๏ธโ๐จ๐พ'
576 - '๐จ๐ปโโค๏ธโ๐จ๐ฟ'
577 - '๐จ๐ผโโค๏ธโ๐จ๐ป'
578 - '๐จ๐ผโโค๏ธโ๐จ๐ผ'
579 - '๐จ๐ผโโค๏ธโ๐จ๐ฝ'
580 - '๐จ๐ผโโค๏ธโ๐จ๐พ'
581 - '๐จ๐ผโโค๏ธโ๐จ๐ฟ'
582 - '๐จ๐ฝโโค๏ธโ๐จ๐ป'
583 - '๐จ๐ฝโโค๏ธโ๐จ๐ผ'
584 - '๐จ๐ฝโโค๏ธโ๐จ๐ฝ'
585 - '๐จ๐ฝโโค๏ธโ๐จ๐พ'
586 - '๐จ๐ฝโโค๏ธโ๐จ๐ฟ'
587 - '๐จ๐พโโค๏ธโ๐จ๐ป'
588 - '๐จ๐พโโค๏ธโ๐จ๐ผ'
589 - '๐จ๐พโโค๏ธโ๐จ๐ฝ'
590 - '๐จ๐พโโค๏ธโ๐จ๐พ'
591 - '๐จ๐พโโค๏ธโ๐จ๐ฟ'
592 - '๐จ๐ฟโโค๏ธโ๐จ๐ป'
593 - '๐จ๐ฟโโค๏ธโ๐จ๐ผ'
594 - '๐จ๐ฟโโค๏ธโ๐จ๐ฝ'
595 - '๐จ๐ฟโโค๏ธโ๐จ๐พ'
596 - '๐จ๐ฟโโค๏ธโ๐จ๐ฟ'
597 - '๐ฉ๐ปโโค๏ธโ๐จ๐ป'
598 - '๐ฉ๐ปโโค๏ธโ๐จ๐ผ'
599 - '๐ฉ๐ปโโค๏ธโ๐จ๐ฝ'
600 - '๐ฉ๐ปโโค๏ธโ๐จ๐พ'
601 - '๐ฉ๐ปโโค๏ธโ๐จ๐ฟ'
602 - '๐ฉ๐ปโโค๏ธโ๐ฉ๐ป'
603 - '๐ฉ๐ปโโค๏ธโ๐ฉ๐ผ'
604 - '๐ฉ๐ปโโค๏ธโ๐ฉ๐ฝ'
605 - '๐ฉ๐ปโโค๏ธโ๐ฉ๐พ'
606 - '๐ฉ๐ปโโค๏ธโ๐ฉ๐ฟ'
607 - '๐ฉ๐ผโโค๏ธโ๐จ๐ป'
608 - '๐ฉ๐ผโโค๏ธโ๐จ๐ผ'
609 - '๐ฉ๐ผโโค๏ธโ๐จ๐ฝ'
610 - '๐ฉ๐ผโโค๏ธโ๐จ๐พ'
611 - '๐ฉ๐ผโโค๏ธโ๐จ๐ฟ'
612 - '๐ฉ๐ผโโค๏ธโ๐ฉ๐ป'
613 - '๐ฉ๐ผโโค๏ธโ๐ฉ๐ผ'
614 - '๐ฉ๐ผโโค๏ธโ๐ฉ๐ฝ'
615 - '๐ฉ๐ผโโค๏ธโ๐ฉ๐พ'
616 - '๐ฉ๐ผโโค๏ธโ๐ฉ๐ฟ'
617 - '๐ฉ๐ฝโโค๏ธโ๐จ๐ป'
618 - '๐ฉ๐ฝโโค๏ธโ๐จ๐ผ'
619 - '๐ฉ๐ฝโโค๏ธโ๐จ๐ฝ'
620 - '๐ฉ๐ฝโโค๏ธโ๐จ๐พ'
621 - '๐ฉ๐ฝโโค๏ธโ๐จ๐ฟ'
622 - '๐ฉ๐ฝโโค๏ธโ๐ฉ๐ป'
623 - '๐ฉ๐ฝโโค๏ธโ๐ฉ๐ผ'
624 - '๐ฉ๐ฝโโค๏ธโ๐ฉ๐ฝ'
625 - '๐ฉ๐ฝโโค๏ธโ๐ฉ๐พ'
626 - '๐ฉ๐ฝโโค๏ธโ๐ฉ๐ฟ'
627 - '๐ฉ๐พโโค๏ธโ๐จ๐ป'
628 - '๐ฉ๐พโโค๏ธโ๐จ๐ผ'
629 - '๐ฉ๐พโโค๏ธโ๐จ๐ฝ'
630 - '๐ฉ๐พโโค๏ธโ๐จ๐พ'
631 - '๐ฉ๐พโโค๏ธโ๐จ๐ฟ'
632 - '๐ฉ๐พโโค๏ธโ๐ฉ๐ป'
633 - '๐ฉ๐พโโค๏ธโ๐ฉ๐ผ'
634 - '๐ฉ๐พโโค๏ธโ๐ฉ๐ฝ'
635 - '๐ฉ๐พโโค๏ธโ๐ฉ๐พ'
636 - '๐ฉ๐พโโค๏ธโ๐ฉ๐ฟ'
637 - '๐ฉ๐ฟโโค๏ธโ๐จ๐ป'
638 - '๐ฉ๐ฟโโค๏ธโ๐จ๐ผ'
639 - '๐ฉ๐ฟโโค๏ธโ๐จ๐ฝ'
640 - '๐ฉ๐ฟโโค๏ธโ๐จ๐พ'
641 - '๐ฉ๐ฟโโค๏ธโ๐จ๐ฟ'
642 - '๐ฉ๐ฟโโค๏ธโ๐ฉ๐ป'
643 - '๐ฉ๐ฟโโค๏ธโ๐ฉ๐ผ'
644 - '๐ฉ๐ฟโโค๏ธโ๐ฉ๐ฝ'
645 - '๐ฉ๐ฟโโค๏ธโ๐ฉ๐พ'
646 - '๐ฉ๐ฟโโค๏ธโ๐ฉ๐ฟ'
647 - '๐ง๐ปโโค๏ธโ๐ง๐ผ'
648 - '๐ง๐ปโโค๏ธโ๐ง๐ฝ'
649 - '๐ง๐ปโโค๏ธโ๐ง๐พ'
650 - '๐ง๐ปโโค๏ธโ๐ง๐ฟ'
651 - '๐ง๐ผโโค๏ธโ๐ง๐ป'
652 - '๐ง๐ผโโค๏ธโ๐ง๐ฝ'
653 - '๐ง๐ผโโค๏ธโ๐ง๐พ'
654 - '๐ง๐ผโโค๏ธโ๐ง๐ฟ'
655 - '๐ง๐ฝโโค๏ธโ๐ง๐ป'
656 - '๐ง๐ฝโโค๏ธโ๐ง๐ผ'
657 - '๐ง๐ฝโโค๏ธโ๐ง๐พ'
658 - '๐ง๐ฝโโค๏ธโ๐ง๐ฟ'
659 - '๐ง๐พโโค๏ธโ๐ง๐ป'
660 - '๐ง๐พโโค๏ธโ๐ง๐ผ'
661 - '๐ง๐พโโค๏ธโ๐ง๐ฝ'
662 - '๐ง๐พโโค๏ธโ๐ง๐ฟ'
663 - '๐ง๐ฟโโค๏ธโ๐ง๐ป'
664 - '๐ง๐ฟโโค๏ธโ๐ง๐ผ'
665 - '๐ง๐ฟโโค๏ธโ๐ง๐ฝ'
666 - '๐ง๐ฟโโค๏ธโ๐ง๐พ'
667 - '๐จ๐ปโโค๏ธโ๐โ๐จ๐ป'
668 - '๐จ๐ปโโค๏ธโ๐โ๐จ๐ผ'
669 - '๐จ๐ปโโค๏ธโ๐โ๐จ๐ฝ'
670 - '๐จ๐ปโโค๏ธโ๐โ๐จ๐พ'
671 - '๐จ๐ปโโค๏ธโ๐โ๐จ๐ฟ'
672 - '๐จ๐ผโโค๏ธโ๐โ๐จ๐ป'
673 - '๐จ๐ผโโค๏ธโ๐โ๐จ๐ผ'
674 - '๐จ๐ผโโค๏ธโ๐โ๐จ๐ฝ'
675 - '๐จ๐ผโโค๏ธโ๐โ๐จ๐พ'
676 - '๐จ๐ผโโค๏ธโ๐โ๐จ๐ฟ'
677 - '๐จ๐ฝโโค๏ธโ๐โ๐จ๐ป'
678 - '๐จ๐ฝโโค๏ธโ๐โ๐จ๐ผ'
679 - '๐จ๐ฝโโค๏ธโ๐โ๐จ๐ฝ'
680 - '๐จ๐ฝโโค๏ธโ๐โ๐จ๐พ'
681 - '๐จ๐ฝโโค๏ธโ๐โ๐จ๐ฟ'
682 - '๐จ๐พโโค๏ธโ๐โ๐จ๐ป'
683 - '๐จ๐พโโค๏ธโ๐โ๐จ๐ผ'
684 - '๐จ๐พโโค๏ธโ๐โ๐จ๐ฝ'
685 - '๐จ๐พโโค๏ธโ๐โ๐จ๐พ'
686 - '๐จ๐พโโค๏ธโ๐โ๐จ๐ฟ'
687 - '๐จ๐ฟโโค๏ธโ๐โ๐จ๐ป'
688 - '๐จ๐ฟโโค๏ธโ๐โ๐จ๐ผ'
689 - '๐จ๐ฟโโค๏ธโ๐โ๐จ๐ฝ'
690 - '๐จ๐ฟโโค๏ธโ๐โ๐จ๐พ'
691 - '๐จ๐ฟโโค๏ธโ๐โ๐จ๐ฟ'
692 - '๐ฉ๐ปโโค๏ธโ๐โ๐จ๐ป'
693 - '๐ฉ๐ปโโค๏ธโ๐โ๐จ๐ผ'
694 - '๐ฉ๐ปโโค๏ธโ๐โ๐จ๐ฝ'
695 - '๐ฉ๐ปโโค๏ธโ๐โ๐จ๐พ'
696 - '๐ฉ๐ปโโค๏ธโ๐โ๐จ๐ฟ'
697 - '๐ฉ๐ปโโค๏ธโ๐โ๐ฉ๐ป'
698 - '๐ฉ๐ปโโค๏ธโ๐โ๐ฉ๐ผ'
699 - '๐ฉ๐ปโโค๏ธโ๐โ๐ฉ๐ฝ'
700 - '๐ฉ๐ปโโค๏ธโ๐โ๐ฉ๐พ'
701 - '๐ฉ๐ปโโค๏ธโ๐โ๐ฉ๐ฟ'
702 - '๐ฉ๐ผโโค๏ธโ๐โ๐จ๐ป'
703 - '๐ฉ๐ผโโค๏ธโ๐โ๐จ๐ผ'
704 - '๐ฉ๐ผโโค๏ธโ๐โ๐จ๐ฝ'
705 - '๐ฉ๐ผโโค๏ธโ๐โ๐จ๐พ'
706 - '๐ฉ๐ผโโค๏ธโ๐โ๐จ๐ฟ'
707 - '๐ฉ๐ผโโค๏ธโ๐โ๐ฉ๐ป'
708 - '๐ฉ๐ผโโค๏ธโ๐โ๐ฉ๐ผ'
709 - '๐ฉ๐ผโโค๏ธโ๐โ๐ฉ๐ฝ'
710 - '๐ฉ๐ผโโค๏ธโ๐โ๐ฉ๐พ'
711 - '๐ฉ๐ผโโค๏ธโ๐โ๐ฉ๐ฟ'
712 - '๐ฉ๐ฝโโค๏ธโ๐โ๐จ๐ป'
713 - '๐ฉ๐ฝโโค๏ธโ๐โ๐จ๐ผ'
714 - '๐ฉ๐ฝโโค๏ธโ๐โ๐จ๐ฝ'
715 - '๐ฉ๐ฝโโค๏ธโ๐โ๐จ๐พ'
716 - '๐ฉ๐ฝโโค๏ธโ๐โ๐จ๐ฟ'
717 - '๐ฉ๐ฝโโค๏ธโ๐โ๐ฉ๐ป'
718 - '๐ฉ๐ฝโโค๏ธโ๐โ๐ฉ๐ผ'
719 - '๐ฉ๐ฝโโค๏ธโ๐โ๐ฉ๐ฝ'
720 - '๐ฉ๐ฝโโค๏ธโ๐โ๐ฉ๐พ'
721 - '๐ฉ๐ฝโโค๏ธโ๐โ๐ฉ๐ฟ'
722 - '๐ฉ๐พโโค๏ธโ๐โ๐จ๐ป'
723 - '๐ฉ๐พโโค๏ธโ๐โ๐จ๐ผ'
724 - '๐ฉ๐พโโค๏ธโ๐โ๐จ๐ฝ'
725 - '๐ฉ๐พโโค๏ธโ๐โ๐จ๐พ'
726 - '๐ฉ๐พโโค๏ธโ๐โ๐จ๐ฟ'
727 - '๐ฉ๐พโโค๏ธโ๐โ๐ฉ๐ป'
728 - '๐ฉ๐พโโค๏ธโ๐โ๐ฉ๐ผ'
729 - '๐ฉ๐พโโค๏ธโ๐โ๐ฉ๐ฝ'
730 - '๐ฉ๐พโโค๏ธโ๐โ๐ฉ๐พ'
731 - '๐ฉ๐พโโค๏ธโ๐โ๐ฉ๐ฟ'
732 - '๐ฉ๐ฟโโค๏ธโ๐โ๐จ๐ป'
733 - '๐ฉ๐ฟโโค๏ธโ๐โ๐จ๐ผ'
734 - '๐ฉ๐ฟโโค๏ธโ๐โ๐จ๐ฝ'
735 - '๐ฉ๐ฟโโค๏ธโ๐โ๐จ๐พ'
736 - '๐ฉ๐ฟโโค๏ธโ๐โ๐จ๐ฟ'
737 - '๐ฉ๐ฟโโค๏ธโ๐โ๐ฉ๐ป'
738 - '๐ฉ๐ฟโโค๏ธโ๐โ๐ฉ๐ผ'
739 - '๐ฉ๐ฟโโค๏ธโ๐โ๐ฉ๐ฝ'
740 - '๐ฉ๐ฟโโค๏ธโ๐โ๐ฉ๐พ'
741 - '๐ฉ๐ฟโโค๏ธโ๐โ๐ฉ๐ฟ'
742 - '๐ง๐ปโโค๏ธโ๐โ๐ง๐ผ'
743 - '๐ง๐ปโโค๏ธโ๐โ๐ง๐ฝ'
744 - '๐ง๐ปโโค๏ธโ๐โ๐ง๐พ'
745 - '๐ง๐ปโโค๏ธโ๐โ๐ง๐ฟ'
746 - '๐ง๐ผโโค๏ธโ๐โ๐ง๐ป'
747 - '๐ง๐ผโโค๏ธโ๐โ๐ง๐ฝ'
748 - '๐ง๐ผโโค๏ธโ๐โ๐ง๐พ'
749 - '๐ง๐ผโโค๏ธโ๐โ๐ง๐ฟ'
750 - '๐ง๐ฝโโค๏ธโ๐โ๐ง๐ป'
751 - '๐ง๐ฝโโค๏ธโ๐โ๐ง๐ผ'
752 - '๐ง๐ฝโโค๏ธโ๐โ๐ง๐พ'
753 - '๐ง๐ฝโโค๏ธโ๐โ๐ง๐ฟ'
754 - '๐ง๐พโโค๏ธโ๐โ๐ง๐ป'
755 - '๐ง๐พโโค๏ธโ๐โ๐ง๐ผ'
756 - '๐ง๐พโโค๏ธโ๐โ๐ง๐ฝ'
757 - '๐ง๐พโโค๏ธโ๐โ๐ง๐ฟ'
758 - '๐ง๐ฟโโค๏ธโ๐โ๐ง๐ป'
759 - '๐ง๐ฟโโค๏ธโ๐โ๐ง๐ผ'
760 - '๐ง๐ฟโโค๏ธโ๐โ๐ง๐ฝ'
761 - '๐ง๐ฟโโค๏ธโ๐โ๐ง๐พ'
762 condition: selection
763falsepositives:
764 - Unknown
765level: high
References
Related rules
- Obfuscated PowerShell OneLiner Execution
- Potential Defense Evasion Activity Via Emoji Usage In CommandLine - 1
- Potential Defense Evasion Activity Via Emoji Usage In CommandLine - 2
- Potential Defense Evasion Activity Via Emoji Usage In CommandLine - 3
- Suspicious Eventlog Clearing or Configuration Change Activity