LetsDefend level 1 alert SOC104 - Malware Detected event-id 21
Details
EventID: 21
Event Time: Oct. 20, 2020, 9:36 p.m.
Rule: SOC104 - Malware Detected
Level: Security Analyst
Source Address 172.16.17.41
Source Hostname GeorgProd
File Name 5919600.doc
File Hash F46B0C39FCFDF4C0426C9276A2BB48C6
File Size 85.4 KB
Device Action Allowed
Download (Password:infected): f46b0c39fcfdf4c0426c9276a2bb48c6.zip
playbook
Define Threat Indicator
いつも思っているが、アラートの原因はマルウェアハッシュの検知なのだろうか。
Answer:Other
Check if the malware is quarantined/cleaned
Endpoint Securityには見つからない。Logでマルウェアの関連アクセスを確認したが、詳細は後程。
Device Action Allowed
Answer:Not Quarantined
Analyze Malware
F46B0C39FCFDF4C0426C9276A2BB48C6
VirusTotal 43/59: https://www.virustotal.com/gui/file/29c012a0db14e9411e82cb177816ae224a37c1afc3d16d2693145d6ac737fb8e
VTは真っ赤なのでMalicious. 関連するURLを調べるとemotetの配布元という情報がチラホラと。
Hybrid-Analysis: https://www.hybrid-analysis.com/sample/29c012a0db14e9411e82cb177816ae224a37c1afc3d16d2693145d6ac737fb8e/5fc27d5d92f3c867467a82ca
Hybrid-Analysisのレポートからは、WebサーバへのGETやvbaマクロが含まれるとのこと。マクロの概要はこちら、
+----------+--------------------+---------------------------------------------+ |Type |Keyword |Description | +----------+--------------------+---------------------------------------------+ |AutoExec |Document_open |Runs when the Word or Publisher document is | | | |opened | |Suspicious|Create |May execute file or a system command through | | | |WMI | |Suspicious|CreateObject |May create an OLE object | |Suspicious|showwindow |May hide the application | |Suspicious|Hex Strings |Hex-encoded strings were detected, may be | | | |used to obfuscate strings (option --decode to| | | |see all) | |Suspicious|Base64 Strings |Base64-encoded strings were detected, may be | | | |used to obfuscate strings (option --decode to| | | |see all) | +----------+--------------------+---------------------------------------------+ # olevba -aより
マクロの中身は、
LetsDefend level 1 alert SOC101 - Phishing Mail Detected event-id 25 - 4ensiX
LetsDefend level 1 alert SOC109 - Emotet Malware Detected event-id 39 - 4ensiX
に似ていることもあって、やはりemotetである。
ANYRUN: https://app.any.run/tasks/8df53175-78cf-4d48-b80e-dd348a5bbdc0/
同じハッシュの動作を見てみると、emotetのC2と通信しており、自動起動設定等々。Emotet.
Answer:Malicious
Check If Someone Requested the C2
DATE | TYPE | SOURCE ADDRESS | SOURCE PORT | DESTINATION ADDRESS | DESTINATION PORT |
---|---|---|---|---|---|
Oct, 20, 2020, 09:36 PM | Proxy | 172.16.17.41 | 12212 | 67.209.122.240 | 80 |
URL: http://www.drleenasreedhar.com/wordpress/x/
ANYRUNでアクセスされており、VirusTotalのレポートでも確認できるURLへのアクセスを確認した。このURLは、
URLhaus: https://urlhaus.abuse.ch/url/724279/
emotetだと、URLhausにも登録されている。
もう一つ、
|DATE |TYPE |SOURCE ADDRESS |SOURCE PORT |DESTINATION ADDRESS |DESTINATION PORT|
| --- | --- |---|---|---|---|
|Oct, 20, 2020, 09:36 PM| Proxy |172.16.17.41 |12322 |75.188.96.231| 80|
URL: http://75.188.96.231/neJlZRlu/3AanpZyfkiet/DyvSn/
こちらはemotet C2へのアクセスである。
Answer:Accessed
Containment
Endpoint Securityに見つからないので隔離済みですか。
Add Artifacts
Value | Type | Comment |
---|---|---|
f46b0c39fcfdf4c0426c9276a2bb48c6 | MD5 Hash | emotet malware |
http[:]//www.drleenasreedhar[.]com/wordpress/x/ | URL Address | download malware |
http[:]//75.188.96.231/neJlZRlu/3AanpZyfkiet/DyvSn/ | URL Address | emotet C2 |
End
LetsDefend level 1 alert SOC102 - Proxy - Suspicious URL Detected event-id 22
Details
EventID: 22
Event Time: Oct. 25, 2020, 9:26 p.m.
Rule: SOC102 - Proxy - Suspicious URL Detected
Level: Security Analyst
Source Address 172.16.17.55
Source Hostname Sofia
Destination Address 35.189.10.17
Destination Hostname stylefix.co
Username Sofia2020
Request URL http[:]//stylefix[.]co/guillotine-cross/CTRNOQ/
User Agent Mozilla/5.0 (Windows NT 5.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.90 Safari/537.36
Device Action Allowed
playbook
Search Log
DATE | TYPE | SOURCE ADDRESS | SOURCE PORT | DESTINATION ADDRESS | DESTINATION PORT |
---|---|---|---|---|---|
Oct, 19, 2020, 10:17 PM | Proxy | 172.16.17.55 | 32212 | 35.189.10.17 | 80 |
URL: http://stylefix.co/guillotine-cross/CTRNOQ/
よく分からないが今回のアラートはアクセスからアラートまでラグがある。
Analyze URL Address
アクセス先ip 35.189.10.17
ip-sc: https://ip-sc.net/ja/r/35.189.10.17
ipはGOOGLE-CLOUDのもの。オーストラリアらしい。
Suspicious URL: http[:]//stylefix[.]co/guillotine-cross/CTRNOQ/
今回のSuspicious URLは、
VirusTotal 9/93: https://www.virustotal.com/gui/url/b6267682185447125d614d2ec3347c5cadbb8654b30967ded48d8fd6aeccf4c1
URLhaus: https://urlhaus.abuse.ch/url/717005/
urlscan: https://urlscan.io/result/2b23f266-0010-495b-aac6-0a65d9b266cb/#summary
VTで見ると有名どころベンダーに登録されており、レポートではemotetとの関連があるらしい。
URLhausでは、emotetやheodoのダウンロードリンクとのレポートがある。
urlscanでは、Submission Tagsにemotetがある。
URLはMaliciousである。
Answer:Malicious
Has Anyone Accessed IP/URL/Domain?
Logと,
Device Action Allowed
より、アクセスしている。
Answer:Accessed
Containment
Containment.
Add Artifacts
Value | Type | Comment |
---|---|---|
http[:]//stylefix[.]co/guillotine-cross/CTRNOQ/ | URL Address | download emotet |
End
LetsDefend level 1 alert SOC101 - Phishing Mail Detected event-id 24
Details
EventID: 24
Event Time: Oct. 25, 2020, 9:32 p.m.
Rule: SOC101 - Phishing Mail Detected
Level: Security Analyst
SMTP Address 173.194.68.27
Source Address darcy.downey@gmail.com
Destination Address james@letsdefend.io
E-mail Subject Covid-19 News!
Device Action Blocked
Covid-19 News! From: darcy.downey@gmail.com Oct. 25, 2020, 9:32 p.m. To: james@letsdefend.io Oct. 25, 2020, 9:32 p.m. Hey, did you read breaking news about Covid-19. Open it now! Attachments 1ceda3ccc4e450088204e23409904fa8.zip
playbook
Are there attachments or URLs in the email?
Attachments
1ceda3ccc4e450088204e23409904fa8.zip
Answer:Yes
Analyze Url/Attachment
Attachments 1ceda3ccc4e450088204e23409904fa8
Attachmentsは、
$ md5sum 2740_48961172733_412.doc 1ceda3ccc4e450088204e23409904fa8 2740_48961172733_412.doc
.docのvbaの中身は、
LetsDefend level 1 alert SOC101 - Phishing Mail Detected event-id 25 - 4ensiX
LetsDefend level 1 alert SOC109 - Emotet Malware Detected event-id 39 - 4ensiX
のものに似ている。つまり、emotetですな。
VirusTotal 44/61: https://www.virustotal.com/gui/file/3f2d12e27bf3804eb2a416ec9c17b8a4b475d3e5e0e2ebbb9ef8a9eba2a500eb
Hybrid-Analysis: https://www.hybrid-analysis.com/sample/3f2d12e27bf3804eb2a416ec9c17b8a4b475d3e5e0e2ebbb9ef8a9eba2a500eb/5f99f7145b27a34ae23c038f
ANYRUN: https://app.any.run/tasks/bb6c540e-b217-401c-a5b2-86a60b9fdc99/
関連URLやIPはemotetと繋がりがあるとのレポートがあり、ANYRUNにはemotetのタグが。vbaの難読化の仕方は、マルウェアごとに癖があると考えていることからマルウェアファミリーに当たりをつけていけるのではと思っている。
Answer:Malicious
Check If Mail Delivered to User?
Device Action Blocked
Answer:Not Delivered
Add Artifacts
Value | Type | Comment |
---|---|---|
darcy.downey@gmail.com | E-mail Sender | |
1ceda3ccc4e450088204e23409904fa8 | MD5 Hash | emotet document |
End
Covid-19関連であったり、最近であればUkraineに関連するような話題であったりの怪しいメールには気をつけましょう。
LetsDefend level 1 alert SOC101 - Phishing Mail Detected event-id 25
Details
EventID: 25
Event Time: Oct. 29, 2020, 6:40 p.m.
Rule: SOC101 - Phishing Mail Detected
Level: Security Analyst
SMTP Address 157.230.109.166
Source Address aaronluo@cmail.carleton.ca
Destination Address mark@letsdefend.io
E-mail Subject UPS Your Packages Status Has Changed
Device Action Blocked
Email
UPS Your Packages Status Has Changed From: aaronluo@cmail.carleton.ca Oct. 29, 2020, 6:40 p.m. To: mark@letsdefend.io Oct. 29, 2020, 6:40 p.m. The status of your package has changed. Exception Reason: A transportation accident has delayed delivery. Exception Resolution: We've missed the scheduled transfer time. This may cause a delay. Please see attachment. Attachments 5a3de19f198269947bb509152678b7d2.zip
送信元 157.230.109.166
送信元のIPを確認する。
VirusTotal 8/90: https://www.virustotal.com/gui/ip-address/157.230.109.166
AbuseIPDB: https://www.abuseipdb.com/check/157.230.109.166
ip-sc: https://ip-sc.net/ja/r/157.230.109.166
IP元はDigitalOceanであり、様々な攻撃に利用されているようだ。
VTでは登録数は少ないが、AbuseIPDBが真っ赤になっているのは珍しい。
playbook
Are there attachments or URLs in the email?
Attachments
5a3de19f198269947bb509152678b7d2.zip
Answer:Yes
Analyze Url/Attachment
Attachments 5a3de19f198269947bb509152678b7d2
Attachmentは、
$ md5sum 0c55dae4a75373696f7af6d0a7db5092fbe4f15c3c92d8dc9433949837b5db92.docx 5a3de19f198269947bb509152678b7d2 0c55dae4a75373696f7af6d0a7db5092fbe4f15c3c92d8dc9433949837b5db92.docx $ olevba -a 0c55dae4a75373696f7af6d0a7db5092fbe4f15c3c92d8dc9433949837b5db92.docx (snip) +----------+--------------------+---------------------------------------------+ |Type |Keyword |Description | +----------+--------------------+---------------------------------------------+ |AutoExec |Document_open |Runs when the Word or Publisher document is | | | |opened | |Suspicious|Create |May execute file or a system command through | | | |WMI | |Suspicious|CreateObject |May create an OLE object | |Suspicious|showwindow |May hide the application | |Suspicious|Hex Strings |Hex-encoded strings were detected, may be | | | |used to obfuscate strings (option --decode to| | | |see all) | |Suspicious|Base64 Strings |Base64-encoded strings were detected, may be | | | |used to obfuscate strings (option --decode to| | | |see all) | +----------+--------------------+---------------------------------------------+ (snip)
.docxのvbaはここでは省略するが、
LetsDefend level 1 alert SOC109 - Emotet Malware Detected event-id 39 - 4ensiX で扱ったドキュメントのvbaに似ている。つまり、emotetなのでは。
VirusTotal 37/57: https://www.virustotal.com/gui/file/0c55dae4a75373696f7af6d0a7db5092fbe4f15c3c92d8dc9433949837b5db92
ANYRUN: https://app.any.run/tasks/d1e97947-9b4c-4472-9711-3487035abb31/
VTではemotetとは言われていないが、関連するURLを調べるとemotetに関するレポートに当たる。
ANYRUNでもemotetのタグが付いている。emotetでありMaliciousなドキュメントであることは間違いない。
Answer:Malicious
Check If Mail Delivered to User?
Device Action Blocked
Answer:Not Delivered
Add Artifacts
Value | Type | Comment |
---|---|---|
aaronluo@cmail.carleton.ca | E-mail Sender | |
cmail.carleton.ca | E-mail Domain | 157.230.109.166 - VT 8/90 |
5a3de19f198269947bb509152678b7d2 | MD5 Hash | emotet document |
End
そういえばUPSといえば、最近といっても3週間前だが
Researchers discover critical vulnerabilities in APC Smart-UPS devices | TechSpot
TLStorm: Three critical vulnerabilities discovered in APC Smart-UPS devices can allow attackers to remotely manipulate the power of millions of enterprise devices.
UPSの脆弱性の話題があった。ネットワーク越しにステータスが見れるだけでなく、ステータスの変更を行える機能もあるのですか。
あまり、UPSに詳しくないがステータスの確認だけでも良いと思うのだが。
LetsDefend level 1 alert SOC102 - Proxy - Suspicious URL Detected event-id 26
Details
EventID: 26
Event Time: Oct. 29, 2020, 7:05 p.m.
Rule: SOC102 - Proxy - Suspicious URL Detected
Level: Security Analyst
Source Address 172.16.17.47
Source Hostname BillPRD
Destination Address 217.8.117.77
Destination Hostname jamesrlongacre.ac.ug
Username Bill
Request URL http[:]//jamesrlongacre.ac[.]ug/ac.exe
User Agent: Firewall Test - Dont Block
Device Action Blocked
playbook
Analyze URL Address
まずはIPから調査、
217.8.117.7
VirusTotal 5/90: https://www.virustotal.com/gui/ip-address/217.8.117.7
URLhaus: https://urlhaus.abuse.ch/browse.php?search=217.8.117.77
ip-sc: https://ip-sc.net/ja/r/217.8.117.77
VTでは登録数は多くないが、URLhausでAsyncRAT,ArkeiStealer,AZORult,RacoonStealer等の様々なマルウェアとの関連が報告されているため
IPがMaliciousであると判断しても良い。
ip-scにて脅威レベルは低いとされている、ロシアのIPである。
http[:]//jamesrlongacre.ac[.]ug/ac.exe
VirusTotal 10/93: https://www.virustotal.com/gui/url/3114ff42180d969ca55e5b84e12ec4119bf402e520f5ad4f27eec137d1a8ec4f
URLhaus: https://urlhaus.abuse.ch/url/748266/
URLをVTで検索すると登録数は増え、URLhausでも確認した。AsyncRATのダウンロードであるらしい。
AsyncRAT (Malware Family)
ダウンロードされるファイルはVTのレポートを見ると、何度も同じIPから配布されていた。
VirusTotal: ac.exe
User Agent: Firewall Test - Dont Block <- ????
ここまでこれば、今回ブロックされたURLはMaliciousであるということは間違いないと言える。
ただ、気になるのはUser Agentだ。これは、もしかするとセキュリティテストの一環としての作業に利用していたことも考えられるが、
アクセス先は明らかに怪しい。
また、このホストからは29分後に以下の記事で解析を行ったアラートが検知されている。
LetsDefend level 1 alert SOC105 - Requested T.I. URL address event-id 28 - 4ensiX
後のアラートの関連性は分からないが、テストに見せかけた攻撃と思える。
Answer:Malicious
Has Anyone Accessed IP/URL/Domain?
Device Action Blocked
Logも確認し、ブロックされている。
DATE | TYPE | SOURCE ADDRESS | SOURCE PORT | DESTINATION ADDRESS | DESTINATION PORT |
---|---|---|---|---|---|
Oct, 29, 2020, 07:05 PM | Proxy | 172.16.17.47 | 39485 | 217.8.117.77 | 443 |
Request URL: http://jamesrlongacre.ac.ug/ac.exe Request Method: GET Device Action: Blocked Process: chrome.exe Parent Process: explorer.exe Parent Process MD5: 8b88ebbb05a0e56b7dcc708498c02b3e
Answer:Not Accessed
Add Artifacts
Value | Type | Comment |
---|---|---|
http[:]//jamesrlongacre.ac[.]ug/ac.exe | URL Address | AsyncRAT distribution server (217.8.117.77) |
217.8.117.77 | IP Address | Multiple malwares distribution server |
True Positive