4ensiX

4ensiX

FPと言ったものはFPを選んだが表示はTPになっていることに気づいた。

LetsDefend level 1 alert SOC105 - Requested T.I. URL address event-id 20

Details

EventID: 20
Event Time: Oct. 19, 2020, 9:54 p.m.
Rule: SOC105 - Requested T.I. URL address
Level: Security Analyst
Source Address 172.16.20.4
Source Hostname gitServer
Destination Address 151.101.112.133
Destination Hostname raw.github.com
Username gitUser
Request URL https[:]//raw.githubusercontent[.]com/django/django/master/setup.py
User Agent Wget/1.19.4 (linux-gnu)
Device Action Allowed

playbook

Analyze Threat Intel Data

Requested T.I. URL addressということなので、URLを重点的に見ていく。

https[:]//raw.githubusercontent[.]com/django/django/master/setup.py

djangoのsetupスクリプトですね。
Django overview | Django
VTで見ると、
VirusTotal: https://www.virustotal.com/gui/url/a129d9a69a5feae5c6b26dd4976fc6d6cf7fc50862f81bd79b94129990f1816c
VTでは登録されていない。他のHybrid-Analysisなどでも脅威としての登録は確認できなかった。
このスクリプトに過去にバックドアが仕組まれたことがあるから登録されているのかと思ったが、そのような事実は見つからない。
DNSがハイジャックされて、アクセス先が変わりMaliciousなファイルがダウンロードされたときにTIとして登録されたものが残っていたのだろうか。
脅威として登録されていたのは、https[:]//raw.githubusercontent[.]comの可能性もある。 自身が取得できた情報の中では、URLはMaliciousではないと考える。

151.101.112.133

一応IPを確認する。
VirusTotal 1/89: https://www.virustotal.com/gui/ip-address/151.101.112.133
ip-sc: https://ip-sc.net/ja/r/151.101.112.133
VTで登録されているが1件である。また、IPはFastlyのものだ。正直Fastlyが乗っ取られるのは考えにくく、悪意のあるグループがFastlyを利用できるかも怪しいと考える。
今回のアラートはFalse Positiveの可能性が見られる。

Answer:Non-malicious

Add Artifacts

Value Type Comment
https[:]//raw.githubusercontent[.]com/django/django/master/setup.py URL Address github django
https[:]//raw.githubusercontent[.]com URL Address threat intel?

False Positive

End

f:id:Zarat:20220406172502p:plain
close alert event-id 20

久々のFalse Positive.

LetsDefend level 1 alert SOC104 - Malware Detected event-id 21

Details

EventID: 21
Event Time: Oct. 20, 2020, 9:36 p.m.
Rule: SOC104 - Malware Detected
Level: Security Analyst
Source Address 172.16.17.41
Source Hostname GeorgProd
File Name 5919600.doc
File Hash F46B0C39FCFDF4C0426C9276A2BB48C6
File Size 85.4 KB
Device Action Allowed
Download (Password:infected): f46b0c39fcfdf4c0426c9276a2bb48c6.zip

playbook

Define Threat Indicator

いつも思っているが、アラートの原因はマルウェアハッシュの検知なのだろうか。

Answer:Other

Check if the malware is quarantined/cleaned

Endpoint Securityには見つからない。Logでマルウェアの関連アクセスを確認したが、詳細は後程。

Device Action Allowed

Answer:Not Quarantined

Analyze Malware

F46B0C39FCFDF4C0426C9276A2BB48C6

VirusTotal 43/59: https://www.virustotal.com/gui/file/29c012a0db14e9411e82cb177816ae224a37c1afc3d16d2693145d6ac737fb8e
VTは真っ赤なのでMalicious. 関連するURLを調べるとemotetの配布元という情報がチラホラと。
Hybrid-Analysis: https://www.hybrid-analysis.com/sample/29c012a0db14e9411e82cb177816ae224a37c1afc3d16d2693145d6ac737fb8e/5fc27d5d92f3c867467a82ca
Hybrid-Analysisのレポートからは、WebサーバへのGETやvbaマクロが含まれるとのこと。マクロの概要はこちら、

+----------+--------------------+---------------------------------------------+
|Type      |Keyword             |Description                                  |
+----------+--------------------+---------------------------------------------+
|AutoExec  |Document_open       |Runs when the Word or Publisher document is  |
|          |                    |opened                                       |
|Suspicious|Create              |May execute file or a system command through |
|          |                    |WMI                                          |
|Suspicious|CreateObject        |May create an OLE object                     |
|Suspicious|showwindow          |May hide the application                     |
|Suspicious|Hex Strings         |Hex-encoded strings were detected, may be    |
|          |                    |used to obfuscate strings (option --decode to|
|          |                    |see all)                                     |
|Suspicious|Base64 Strings      |Base64-encoded strings were detected, may be |
|          |                    |used to obfuscate strings (option --decode to|
|          |                    |see all)                                     |
+----------+--------------------+---------------------------------------------+
# olevba -aより

マクロの中身は、
LetsDefend level 1 alert SOC101 - Phishing Mail Detected event-id 25 - 4ensiX
LetsDefend level 1 alert SOC109 - Emotet Malware Detected event-id 39 - 4ensiX
に似ていることもあって、やはりemotetである。
ANYRUN: https://app.any.run/tasks/8df53175-78cf-4d48-b80e-dd348a5bbdc0/
同じハッシュの動作を見てみると、emotetのC2と通信しており、自動起動設定等々。Emotet.

Answer:Malicious

Check If Someone Requested the C2

DATE TYPE SOURCE ADDRESS SOURCE PORT DESTINATION ADDRESS DESTINATION PORT
Oct, 20, 2020, 09:36 PM Proxy 172.16.17.41 12212 67.209.122.240 80
URL: http://www.drleenasreedhar.com/wordpress/x/

ANYRUNでアクセスされており、VirusTotalのレポートでも確認できるURLへのアクセスを確認した。このURLは、
URLhaus: https://urlhaus.abuse.ch/url/724279/
emotetだと、URLhausにも登録されている。
もう一つ、
|DATE |TYPE |SOURCE ADDRESS |SOURCE PORT |DESTINATION ADDRESS |DESTINATION PORT| | --- | --- |---|---|---|---| |Oct, 20, 2020, 09:36 PM| Proxy |172.16.17.41 |12322 |75.188.96.231| 80|

URL: http://75.188.96.231/neJlZRlu/3AanpZyfkiet/DyvSn/

こちらはemotet C2へのアクセスである。

Answer:Accessed

Containment

Endpoint Securityに見つからないので隔離済みですか。

Add Artifacts

Value Type Comment
f46b0c39fcfdf4c0426c9276a2bb48c6 MD5 Hash emotet malware
http[:]//www.drleenasreedhar[.]com/wordpress/x/ URL Address download malware
http[:]//75.188.96.231/neJlZRlu/3AanpZyfkiet/DyvSn/ URL Address emotet C2

End

f:id:Zarat:20220405161009p:plain
close alert event-id 21

LetsDefend level 1 alert SOC102 - Proxy - Suspicious URL Detected event-id 22

Details

EventID: 22
Event Time: Oct. 25, 2020, 9:26 p.m.
Rule: SOC102 - Proxy - Suspicious URL Detected
Level: Security Analyst
Source Address 172.16.17.55
Source Hostname Sofia
Destination Address 35.189.10.17
Destination Hostname stylefix.co
Username Sofia2020
Request URL http[:]//stylefix[.]co/guillotine-cross/CTRNOQ/
User Agent Mozilla/5.0 (Windows NT 5.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.90 Safari/537.36
Device Action Allowed

playbook

Search Log

DATE TYPE SOURCE ADDRESS SOURCE PORT DESTINATION ADDRESS DESTINATION PORT
Oct, 19, 2020, 10:17 PM Proxy 172.16.17.55 32212 35.189.10.17 80
URL: http://stylefix.co/guillotine-cross/CTRNOQ/

よく分からないが今回のアラートはアクセスからアラートまでラグがある。

Analyze URL Address

アクセス先ip 35.189.10.17

ip-sc: https://ip-sc.net/ja/r/35.189.10.17
ipはGOOGLE-CLOUDのもの。オーストラリアらしい。

Suspicious URL: http[:]//stylefix[.]co/guillotine-cross/CTRNOQ/

今回のSuspicious URLは、
VirusTotal 9/93: https://www.virustotal.com/gui/url/b6267682185447125d614d2ec3347c5cadbb8654b30967ded48d8fd6aeccf4c1
URLhaus: https://urlhaus.abuse.ch/url/717005/
urlscan: https://urlscan.io/result/2b23f266-0010-495b-aac6-0a65d9b266cb/#summary
VTで見ると有名どころベンダーに登録されており、レポートではemotetとの関連があるらしい。
URLhausでは、emotetやheodoのダウンロードリンクとのレポートがある。
urlscanでは、Submission Tagsにemotetがある。
URLはMaliciousである。


Answer:Malicious

Has Anyone Accessed IP/URL/Domain?

Logと,

Device Action Allowed

より、アクセスしている。
Answer:Accessed

Containment

Containment.

Add Artifacts

Value Type Comment
http[:]//stylefix[.]co/guillotine-cross/CTRNOQ/ URL Address download emotet

End

f:id:Zarat:20220403160951p:plain
close alert event-id 22

LetsDefend level 1 alert SOC101 - Phishing Mail Detected event-id 24

Details

EventID: 24
Event Time: Oct. 25, 2020, 9:32 p.m.
Rule: SOC101 - Phishing Mail Detected
Level: Security Analyst
SMTP Address 173.194.68.27
Source Address darcy.downey@gmail.com
Destination Address james@letsdefend.io
E-mail Subject Covid-19 News!
Device Action Blocked

Email

Covid-19 News!

From: darcy.downey@gmail.com Oct. 25, 2020, 9:32 p.m.
To: james@letsdefend.io Oct. 25, 2020, 9:32 p.m.

Hey, did you read breaking news about Covid-19. Open it now!

Attachments
1ceda3ccc4e450088204e23409904fa8.zip

playbook

Are there attachments or URLs in the email?

Attachments
1ceda3ccc4e450088204e23409904fa8.zip

Answer:Yes

Analyze Url/Attachment

Attachments 1ceda3ccc4e450088204e23409904fa8

Attachmentsは、

$ md5sum 2740_48961172733_412.doc
1ceda3ccc4e450088204e23409904fa8  2740_48961172733_412.doc

.docのvbaの中身は、
LetsDefend level 1 alert SOC101 - Phishing Mail Detected event-id 25 - 4ensiX
LetsDefend level 1 alert SOC109 - Emotet Malware Detected event-id 39 - 4ensiX
のものに似ている。つまり、emotetですな。
VirusTotal 44/61: https://www.virustotal.com/gui/file/3f2d12e27bf3804eb2a416ec9c17b8a4b475d3e5e0e2ebbb9ef8a9eba2a500eb
Hybrid-Analysis: https://www.hybrid-analysis.com/sample/3f2d12e27bf3804eb2a416ec9c17b8a4b475d3e5e0e2ebbb9ef8a9eba2a500eb/5f99f7145b27a34ae23c038f
ANYRUN: https://app.any.run/tasks/bb6c540e-b217-401c-a5b2-86a60b9fdc99/
関連URLやIPはemotetと繋がりがあるとのレポートがあり、ANYRUNにはemotetのタグが。vbaの難読化の仕方は、マルウェアごとに癖があると考えていることからマルウェアファミリーに当たりをつけていけるのではと思っている。


Answer:Malicious

Check If Mail Delivered to User?

Device Action Blocked

Answer:Not Delivered

Add Artifacts

Value Type Comment
darcy.downey@gmail.com E-mail Sender
1ceda3ccc4e450088204e23409904fa8 MD5 Hash emotet document

End

f:id:Zarat:20220403150450p:plain
close alert event-id 24

Covid-19関連であったり、最近であればUkraineに関連するような話題であったりの怪しいメールには気をつけましょう。

LetsDefend level 1 alert SOC101 - Phishing Mail Detected event-id 25

Details

EventID: 25
Event Time: Oct. 29, 2020, 6:40 p.m.
Rule: SOC101 - Phishing Mail Detected
Level: Security Analyst
SMTP Address 157.230.109.166
Source Address aaronluo@cmail.carleton.ca
Destination Address mark@letsdefend.io
E-mail Subject UPS Your Packages Status Has Changed
Device Action Blocked

Email

UPS Your Packages Status Has Changed

From: aaronluo@cmail.carleton.ca Oct. 29, 2020, 6:40 p.m.
To: mark@letsdefend.io Oct. 29, 2020, 6:40 p.m.


The status of your package has changed.

Exception Reason: A transportation accident has delayed delivery.
Exception Resolution: We've missed the scheduled transfer time. This may cause a delay.

Please see attachment.

Attachments
5a3de19f198269947bb509152678b7d2.zip

送信元 157.230.109.166

送信元のIPを確認する。
VirusTotal 8/90: https://www.virustotal.com/gui/ip-address/157.230.109.166
AbuseIPDB: https://www.abuseipdb.com/check/157.230.109.166
ip-sc: https://ip-sc.net/ja/r/157.230.109.166
IP元はDigitalOceanであり、様々な攻撃に利用されているようだ。
VTでは登録数は少ないが、AbuseIPDBが真っ赤になっているのは珍しい。

playbook

Are there attachments or URLs in the email?

Attachments
5a3de19f198269947bb509152678b7d2.zip



Answer:Yes

Analyze Url/Attachment

Attachments 5a3de19f198269947bb509152678b7d2

Attachmentは、

$ md5sum 0c55dae4a75373696f7af6d0a7db5092fbe4f15c3c92d8dc9433949837b5db92.docx 
5a3de19f198269947bb509152678b7d2  0c55dae4a75373696f7af6d0a7db5092fbe4f15c3c92d8dc9433949837b5db92.docx
$ olevba -a 0c55dae4a75373696f7af6d0a7db5092fbe4f15c3c92d8dc9433949837b5db92.docx
(snip)
+----------+--------------------+---------------------------------------------+
|Type      |Keyword             |Description                                  |
+----------+--------------------+---------------------------------------------+
|AutoExec  |Document_open       |Runs when the Word or Publisher document is  |
|          |                    |opened                                       |
|Suspicious|Create              |May execute file or a system command through |
|          |                    |WMI                                          |
|Suspicious|CreateObject        |May create an OLE object                     |
|Suspicious|showwindow          |May hide the application                     |
|Suspicious|Hex Strings         |Hex-encoded strings were detected, may be    |
|          |                    |used to obfuscate strings (option --decode to|
|          |                    |see all)                                     |
|Suspicious|Base64 Strings      |Base64-encoded strings were detected, may be |
|          |                    |used to obfuscate strings (option --decode to|
|          |                    |see all)                                     |
+----------+--------------------+---------------------------------------------+
(snip)

.docxのvbaはここでは省略するが、
LetsDefend level 1 alert SOC109 - Emotet Malware Detected event-id 39 - 4ensiX で扱ったドキュメントのvbaに似ている。つまり、emotetなのでは。
VirusTotal 37/57: https://www.virustotal.com/gui/file/0c55dae4a75373696f7af6d0a7db5092fbe4f15c3c92d8dc9433949837b5db92
ANYRUN: https://app.any.run/tasks/d1e97947-9b4c-4472-9711-3487035abb31/
VTではemotetとは言われていないが、関連するURLを調べるとemotetに関するレポートに当たる。 ANYRUNでもemotetのタグが付いている。emotetでありMaliciousなドキュメントであることは間違いない。


Answer:Malicious

Check If Mail Delivered to User?

Device Action Blocked

Answer:Not Delivered

Add Artifacts

Value Type Comment
aaronluo@cmail.carleton.ca E-mail Sender
cmail.carleton.ca E-mail Domain 157.230.109.166 - VT 8/90
5a3de19f198269947bb509152678b7d2 MD5 Hash emotet document

End

f:id:Zarat:20220403142142p:plain
close alert event-id 25

そういえばUPSといえば、最近といっても3週間前だが
Researchers discover critical vulnerabilities in APC Smart-UPS devices | TechSpot
TLStorm: Three critical vulnerabilities discovered in APC Smart-UPS devices can allow attackers to remotely manipulate the power of millions of enterprise devices.
UPS脆弱性の話題があった。ネットワーク越しにステータスが見れるだけでなく、ステータスの変更を行える機能もあるのですか。
あまり、UPSに詳しくないがステータスの確認だけでも良いと思うのだが。