4ensiX

4ensiX

FPと言ったものはFPを選んだが表示はTPになっていることに気づいた。

LetsDefend level 1 alert SOC104 - Malware Detected event-id 21

LetsDefend Malware

Details

EventID: 21
Event Time: Oct. 20, 2020, 9:36 p.m.
Rule: SOC104 - Malware Detected
Level: Security Analyst
Source Address 172.16.17.41
Source Hostname GeorgProd
File Name 5919600.doc
File Hash F46B0C39FCFDF4C0426C9276A2BB48C6
File Size 85.4 KB
Device Action Allowed
Download (Password:infected): f46b0c39fcfdf4c0426c9276a2bb48c6.zip

playbook

Define Threat Indicator

いつも思っているが、アラートの原因はマルウェアハッシュの検知なのだろうか。

Answer:Other

Check if the malware is quarantined/cleaned

Endpoint Securityには見つからない。Logでマルウェアの関連アクセスを確認したが、詳細は後程。

Device Action Allowed

Answer:Not Quarantined

Analyze Malware

F46B0C39FCFDF4C0426C9276A2BB48C6

VirusTotal 43/59: https://www.virustotal.com/gui/file/29c012a0db14e9411e82cb177816ae224a37c1afc3d16d2693145d6ac737fb8e
VTは真っ赤なのでMalicious. 関連するURLを調べるとemotetの配布元という情報がチラホラと。
Hybrid-Analysis: https://www.hybrid-analysis.com/sample/29c012a0db14e9411e82cb177816ae224a37c1afc3d16d2693145d6ac737fb8e/5fc27d5d92f3c867467a82ca
Hybrid-Analysisのレポートからは、WebサーバへのGETやvbaマクロが含まれるとのこと。マクロの概要はこちら、

+----------+--------------------+---------------------------------------------+
|Type      |Keyword             |Description                                  |
+----------+--------------------+---------------------------------------------+
|AutoExec  |Document_open       |Runs when the Word or Publisher document is  |
|          |                    |opened                                       |
|Suspicious|Create              |May execute file or a system command through |
|          |                    |WMI                                          |
|Suspicious|CreateObject        |May create an OLE object                     |
|Suspicious|showwindow          |May hide the application                     |
|Suspicious|Hex Strings         |Hex-encoded strings were detected, may be    |
|          |                    |used to obfuscate strings (option --decode to|
|          |                    |see all)                                     |
|Suspicious|Base64 Strings      |Base64-encoded strings were detected, may be |
|          |                    |used to obfuscate strings (option --decode to|
|          |                    |see all)                                     |
+----------+--------------------+---------------------------------------------+
# olevba -aより

マクロの中身は、
LetsDefend level 1 alert SOC101 - Phishing Mail Detected event-id 25 - 4ensiX
LetsDefend level 1 alert SOC109 - Emotet Malware Detected event-id 39 - 4ensiX
に似ていることもあって、やはりemotetである。
ANYRUN: https://app.any.run/tasks/8df53175-78cf-4d48-b80e-dd348a5bbdc0/
同じハッシュの動作を見てみると、emotetのC2と通信しており、自動起動設定等々。Emotet.

Answer:Malicious

Check If Someone Requested the C2

DATE TYPE SOURCE ADDRESS SOURCE PORT DESTINATION ADDRESS DESTINATION PORT
Oct, 20, 2020, 09:36 PM Proxy 172.16.17.41 12212 67.209.122.240 80 
URL: http://www.drleenasreedhar.com/wordpress/x/

ANYRUNでアクセスされており、VirusTotalのレポートでも確認できるURLへのアクセスを確認した。このURLは、
URLhaus: https://urlhaus.abuse.ch/url/724279/
emotetだと、URLhausにも登録されている。
もう一つ、
|DATE |TYPE |SOURCE ADDRESS |SOURCE PORT |DESTINATION ADDRESS |DESTINATION PORT| | --- | --- |---|---|---|---| |Oct, 20, 2020, 09:36 PM| Proxy |172.16.17.41 |12322 |75.188.96.231| 80|

URL: http://75.188.96.231/neJlZRlu/3AanpZyfkiet/DyvSn/

こちらはemotet C2へのアクセスである。

Answer:Accessed

Containment

Endpoint Securityに見つからないので隔離済みですか。

Add Artifacts

Value Type Comment
f46b0c39fcfdf4c0426c9276a2bb48c6 MD5 Hash emotet malware
http[:]//www.drleenasreedhar[.]com/wordpress/x/ URL Address download malware
http[:]//75.188.96.231/neJlZRlu/3AanpZyfkiet/DyvSn/ URL Address emotet C2

End

f:id:Zarat:20220405161009p:plain
close alert event-id 21

LetsDefend level 1 alert SOC102 - Proxy - Suspicious URL Detected event-id 22

LetsDefend

Details

EventID: 22
Event Time: Oct. 25, 2020, 9:26 p.m.
Rule: SOC102 - Proxy - Suspicious URL Detected
Level: Security Analyst
Source Address 172.16.17.55
Source Hostname Sofia
Destination Address 35.189.10.17
Destination Hostname stylefix.co
Username Sofia2020
Request URL http[:]//stylefix[.]co/guillotine-cross/CTRNOQ/
User Agent Mozilla/5.0 (Windows NT 5.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.90 Safari/537.36
Device Action Allowed

playbook

Search Log

DATE TYPE SOURCE ADDRESS SOURCE PORT DESTINATION ADDRESS DESTINATION PORT
Oct, 19, 2020, 10:17 PM Proxy 172.16.17.55 32212 35.189.10.17 80 
URL: http://stylefix.co/guillotine-cross/CTRNOQ/

よく分からないが今回のアラートはアクセスからアラートまでラグがある。

Analyze URL Address

アクセス先ip 35.189.10.17

ip-sc: https://ip-sc.net/ja/r/35.189.10.17
ipはGOOGLE-CLOUDのもの。オーストラリアらしい。

Suspicious URL: http[:]//stylefix[.]co/guillotine-cross/CTRNOQ/

今回のSuspicious URLは、
VirusTotal 9/93: https://www.virustotal.com/gui/url/b6267682185447125d614d2ec3347c5cadbb8654b30967ded48d8fd6aeccf4c1
URLhaus: https://urlhaus.abuse.ch/url/717005/
urlscan: https://urlscan.io/result/2b23f266-0010-495b-aac6-0a65d9b266cb/#summary
VTで見ると有名どころベンダーに登録されており、レポートではemotetとの関連があるらしい。
URLhausでは、emotetやheodoのダウンロードリンクとのレポートがある。
urlscanでは、Submission Tagsにemotetがある。
URLはMaliciousである。


Answer:Malicious

Has Anyone Accessed IP/URL/Domain?

Logと,

Device Action Allowed

より、アクセスしている。
Answer:Accessed

Containment

Containment.

Add Artifacts

Value Type Comment
http[:]//stylefix[.]co/guillotine-cross/CTRNOQ/ URL Address download emotet

End

f:id:Zarat:20220403160951p:plain
close alert event-id 22

LetsDefend level 1 alert SOC101 - Phishing Mail Detected event-id 24

LetsDefend

Details

EventID: 24
Event Time: Oct. 25, 2020, 9:32 p.m.
Rule: SOC101 - Phishing Mail Detected
Level: Security Analyst
SMTP Address 173.194.68.27
Source Address darcy.downey@gmail.com
Destination Address james@letsdefend.io
E-mail Subject Covid-19 News!
Device Action Blocked

Email

Covid-19 News!

From: darcy.downey@gmail.com Oct. 25, 2020, 9:32 p.m.
To: james@letsdefend.io Oct. 25, 2020, 9:32 p.m.

Hey, did you read breaking news about Covid-19. Open it now!

Attachments
1ceda3ccc4e450088204e23409904fa8.zip

playbook

Are there attachments or URLs in the email?

Attachments
1ceda3ccc4e450088204e23409904fa8.zip

Answer:Yes

Analyze Url/Attachment

Attachments 1ceda3ccc4e450088204e23409904fa8

Attachmentsは、

$ md5sum 2740_48961172733_412.doc
1ceda3ccc4e450088204e23409904fa8  2740_48961172733_412.doc

.docのvbaの中身は、
LetsDefend level 1 alert SOC101 - Phishing Mail Detected event-id 25 - 4ensiX
LetsDefend level 1 alert SOC109 - Emotet Malware Detected event-id 39 - 4ensiX
のものに似ている。つまり、emotetですな。
VirusTotal 44/61: https://www.virustotal.com/gui/file/3f2d12e27bf3804eb2a416ec9c17b8a4b475d3e5e0e2ebbb9ef8a9eba2a500eb
Hybrid-Analysis: https://www.hybrid-analysis.com/sample/3f2d12e27bf3804eb2a416ec9c17b8a4b475d3e5e0e2ebbb9ef8a9eba2a500eb/5f99f7145b27a34ae23c038f
ANYRUN: https://app.any.run/tasks/bb6c540e-b217-401c-a5b2-86a60b9fdc99/
関連URLやIPはemotetと繋がりがあるとのレポートがあり、ANYRUNにはemotetのタグが。vbaの難読化の仕方は、マルウェアごとに癖があると考えていることからマルウェアファミリーに当たりをつけていけるのではと思っている。


Answer:Malicious

Check If Mail Delivered to User?

Device Action Blocked

Answer:Not Delivered

Add Artifacts

Value Type Comment
darcy.downey@gmail.com E-mail Sender
1ceda3ccc4e450088204e23409904fa8 MD5 Hash emotet document

End

f:id:Zarat:20220403150450p:plain
close alert event-id 24

Covid-19関連であったり、最近であればUkraineに関連するような話題であったりの怪しいメールには気をつけましょう。

LetsDefend level 1 alert SOC101 - Phishing Mail Detected event-id 25

LetsDefend

Details

EventID: 25
Event Time: Oct. 29, 2020, 6:40 p.m.
Rule: SOC101 - Phishing Mail Detected
Level: Security Analyst
SMTP Address 157.230.109.166
Source Address aaronluo@cmail.carleton.ca
Destination Address mark@letsdefend.io
E-mail Subject UPS Your Packages Status Has Changed
Device Action Blocked

Email

UPS Your Packages Status Has Changed

From: aaronluo@cmail.carleton.ca Oct. 29, 2020, 6:40 p.m.
To: mark@letsdefend.io Oct. 29, 2020, 6:40 p.m.


The status of your package has changed.

Exception Reason: A transportation accident has delayed delivery.
Exception Resolution: We've missed the scheduled transfer time. This may cause a delay.

Please see attachment.

Attachments
5a3de19f198269947bb509152678b7d2.zip

送信元 157.230.109.166

送信元のIPを確認する。
VirusTotal 8/90: https://www.virustotal.com/gui/ip-address/157.230.109.166
AbuseIPDB: https://www.abuseipdb.com/check/157.230.109.166
ip-sc: https://ip-sc.net/ja/r/157.230.109.166
IP元はDigitalOceanであり、様々な攻撃に利用されているようだ。
VTでは登録数は少ないが、AbuseIPDBが真っ赤になっているのは珍しい。

playbook

Are there attachments or URLs in the email?

Attachments
5a3de19f198269947bb509152678b7d2.zip



Answer:Yes

Analyze Url/Attachment

Attachments 5a3de19f198269947bb509152678b7d2

Attachmentは、

$ md5sum 0c55dae4a75373696f7af6d0a7db5092fbe4f15c3c92d8dc9433949837b5db92.docx 
5a3de19f198269947bb509152678b7d2  0c55dae4a75373696f7af6d0a7db5092fbe4f15c3c92d8dc9433949837b5db92.docx
$ olevba -a 0c55dae4a75373696f7af6d0a7db5092fbe4f15c3c92d8dc9433949837b5db92.docx
(snip)
+----------+--------------------+---------------------------------------------+
|Type      |Keyword             |Description                                  |
+----------+--------------------+---------------------------------------------+
|AutoExec  |Document_open       |Runs when the Word or Publisher document is  |
|          |                    |opened                                       |
|Suspicious|Create              |May execute file or a system command through |
|          |                    |WMI                                          |
|Suspicious|CreateObject        |May create an OLE object                     |
|Suspicious|showwindow          |May hide the application                     |
|Suspicious|Hex Strings         |Hex-encoded strings were detected, may be    |
|          |                    |used to obfuscate strings (option --decode to|
|          |                    |see all)                                     |
|Suspicious|Base64 Strings      |Base64-encoded strings were detected, may be |
|          |                    |used to obfuscate strings (option --decode to|
|          |                    |see all)                                     |
+----------+--------------------+---------------------------------------------+
(snip)

.docxのvbaはここでは省略するが、
LetsDefend level 1 alert SOC109 - Emotet Malware Detected event-id 39 - 4ensiX で扱ったドキュメントのvbaに似ている。つまり、emotetなのでは。
VirusTotal 37/57: https://www.virustotal.com/gui/file/0c55dae4a75373696f7af6d0a7db5092fbe4f15c3c92d8dc9433949837b5db92
ANYRUN: https://app.any.run/tasks/d1e97947-9b4c-4472-9711-3487035abb31/
VTではemotetとは言われていないが、関連するURLを調べるとemotetに関するレポートに当たる。 ANYRUNでもemotetのタグが付いている。emotetでありMaliciousなドキュメントであることは間違いない。


Answer:Malicious

Check If Mail Delivered to User?

Device Action Blocked

Answer:Not Delivered

Add Artifacts

Value Type Comment
aaronluo@cmail.carleton.ca E-mail Sender
cmail.carleton.ca E-mail Domain 157.230.109.166 - VT 8/90
5a3de19f198269947bb509152678b7d2 MD5 Hash emotet document

End

f:id:Zarat:20220403142142p:plain
close alert event-id 25

そういえばUPSといえば、最近といっても3週間前だが
Researchers discover critical vulnerabilities in APC Smart-UPS devices | TechSpot
TLStorm: Three critical vulnerabilities discovered in APC Smart-UPS devices can allow attackers to remotely manipulate the power of millions of enterprise devices.
UPS脆弱性の話題があった。ネットワーク越しにステータスが見れるだけでなく、ステータスの変更を行える機能もあるのですか。
あまり、UPSに詳しくないがステータスの確認だけでも良いと思うのだが。

LetsDefend level 1 alert SOC102 - Proxy - Suspicious URL Detected event-id 26

LetsDefend

Details

EventID: 26
Event Time: Oct. 29, 2020, 7:05 p.m.
Rule: SOC102 - Proxy - Suspicious URL Detected
Level: Security Analyst
Source Address 172.16.17.47
Source Hostname BillPRD
Destination Address 217.8.117.77
Destination Hostname jamesrlongacre.ac.ug
Username Bill
Request URL http[:]//jamesrlongacre.ac[.]ug/ac.exe
User Agent: Firewall Test - Dont Block
Device Action Blocked

playbook

Analyze URL Address

まずはIPから調査、

217.8.117.7

VirusTotal 5/90: https://www.virustotal.com/gui/ip-address/217.8.117.7
URLhaus: https://urlhaus.abuse.ch/browse.php?search=217.8.117.77
ip-sc: https://ip-sc.net/ja/r/217.8.117.77
VTでは登録数は多くないが、URLhausでAsyncRAT,ArkeiStealer,AZORult,RacoonStealer等の様々なマルウェアとの関連が報告されているため IPがMaliciousであると判断しても良い。
ip-scにて脅威レベルは低いとされている、ロシアのIPである。

http[:]//jamesrlongacre.ac[.]ug/ac.exe

VirusTotal 10/93: https://www.virustotal.com/gui/url/3114ff42180d969ca55e5b84e12ec4119bf402e520f5ad4f27eec137d1a8ec4f
URLhaus: https://urlhaus.abuse.ch/url/748266/
URLをVTで検索すると登録数は増え、URLhausでも確認した。AsyncRATのダウンロードであるらしい。
AsyncRAT (Malware Family)
ダウンロードされるファイルはVTのレポートを見ると、何度も同じIPから配布されていた。
VirusTotal: ac.exe

User Agent: Firewall Test - Dont Block <- ????

ここまでこれば、今回ブロックされたURLはMaliciousであるということは間違いないと言える。
ただ、気になるのはUser Agentだ。これは、もしかするとセキュリティテストの一環としての作業に利用していたことも考えられるが、 アクセス先は明らかに怪しい。
また、このホストからは29分後に以下の記事で解析を行ったアラートが検知されている。
LetsDefend level 1 alert SOC105 - Requested T.I. URL address event-id 28 - 4ensiX
後のアラートの関連性は分からないが、テストに見せかけた攻撃と思える。


Answer:Malicious

Has Anyone Accessed IP/URL/Domain?

Device Action Blocked

Logも確認し、ブロックされている。

DATE TYPE SOURCE ADDRESS SOURCE PORT DESTINATION ADDRESS DESTINATION PORT
Oct, 29, 2020, 07:05 PM Proxy 172.16.17.47 39485 217.8.117.77 443 
Request URL: http://jamesrlongacre.ac.ug/ac.exe
Request Method: GET
Device Action: Blocked
Process: chrome.exe
Parent Process: explorer.exe
Parent Process MD5: 8b88ebbb05a0e56b7dcc708498c02b3e

Answer:Not Accessed

Add Artifacts

Value Type Comment
http[:]//jamesrlongacre.ac[.]ug/ac.exe URL Address AsyncRAT distribution server (217.8.117.77)
217.8.117.77 IP Address Multiple malwares distribution server

True Positive

End

f:id:Zarat:20220402215614p:plain
close alert event-id 26