LetsDefend level 1 alert SOC105 - Requested T.I. URL address event-id 20
Details
EventID: 20
Event Time: Oct. 19, 2020, 9:54 p.m.
Rule: SOC105 - Requested T.I. URL address
Level: Security Analyst
Source Address 172.16.20.4
Source Hostname gitServer
Destination Address 151.101.112.133
Destination Hostname raw.github.com
Username gitUser
Request URL https[:]//raw.githubusercontent[.]com/django/django/master/setup.py
User Agent Wget/1.19.4 (linux-gnu)
Device Action Allowed
playbook
Analyze Threat Intel Data
Requested T.I. URL addressということなので、URLを重点的に見ていく。
https[:]//raw.githubusercontent[.]com/django/django/master/setup.py
djangoのsetupスクリプトですね。
Django overview | Django
VTで見ると、
VirusTotal: https://www.virustotal.com/gui/url/a129d9a69a5feae5c6b26dd4976fc6d6cf7fc50862f81bd79b94129990f1816c
VTでは登録されていない。他のHybrid-Analysisなどでも脅威としての登録は確認できなかった。
このスクリプトに過去にバックドアが仕組まれたことがあるから登録されているのかと思ったが、そのような事実は見つからない。
DNSがハイジャックされて、アクセス先が変わりMaliciousなファイルがダウンロードされたときにTIとして登録されたものが残っていたのだろうか。
脅威として登録されていたのは、https[:]//raw.githubusercontent[.]comの可能性もある。
自身が取得できた情報の中では、URLはMaliciousではないと考える。
151.101.112.133
一応IPを確認する。
VirusTotal 1/89: https://www.virustotal.com/gui/ip-address/151.101.112.133
ip-sc: https://ip-sc.net/ja/r/151.101.112.133
VTで登録されているが1件である。また、IPはFastlyのものだ。正直Fastlyが乗っ取られるのは考えにくく、悪意のあるグループがFastlyを利用できるかも怪しいと考える。
今回のアラートはFalse Positiveの可能性が見られる。
Answer:Non-malicious
Add Artifacts
Value | Type | Comment |
---|---|---|
https[:]//raw.githubusercontent[.]com/django/django/master/setup.py | URL Address | github django |
https[:]//raw.githubusercontent[.]com | URL Address | threat intel? |
False Positive
End
久々のFalse Positive.
LetsDefend level 1 alert SOC104 - Malware Detected event-id 21
Details
EventID: 21
Event Time: Oct. 20, 2020, 9:36 p.m.
Rule: SOC104 - Malware Detected
Level: Security Analyst
Source Address 172.16.17.41
Source Hostname GeorgProd
File Name 5919600.doc
File Hash F46B0C39FCFDF4C0426C9276A2BB48C6
File Size 85.4 KB
Device Action Allowed
Download (Password:infected): f46b0c39fcfdf4c0426c9276a2bb48c6.zip
playbook
Define Threat Indicator
いつも思っているが、アラートの原因はマルウェアハッシュの検知なのだろうか。
Answer:Other
Check if the malware is quarantined/cleaned
Endpoint Securityには見つからない。Logでマルウェアの関連アクセスを確認したが、詳細は後程。
Device Action Allowed
Answer:Not Quarantined
Analyze Malware
F46B0C39FCFDF4C0426C9276A2BB48C6
VirusTotal 43/59: https://www.virustotal.com/gui/file/29c012a0db14e9411e82cb177816ae224a37c1afc3d16d2693145d6ac737fb8e
VTは真っ赤なのでMalicious. 関連するURLを調べるとemotetの配布元という情報がチラホラと。
Hybrid-Analysis: https://www.hybrid-analysis.com/sample/29c012a0db14e9411e82cb177816ae224a37c1afc3d16d2693145d6ac737fb8e/5fc27d5d92f3c867467a82ca
Hybrid-Analysisのレポートからは、WebサーバへのGETやvbaマクロが含まれるとのこと。マクロの概要はこちら、
+----------+--------------------+---------------------------------------------+ |Type |Keyword |Description | +----------+--------------------+---------------------------------------------+ |AutoExec |Document_open |Runs when the Word or Publisher document is | | | |opened | |Suspicious|Create |May execute file or a system command through | | | |WMI | |Suspicious|CreateObject |May create an OLE object | |Suspicious|showwindow |May hide the application | |Suspicious|Hex Strings |Hex-encoded strings were detected, may be | | | |used to obfuscate strings (option --decode to| | | |see all) | |Suspicious|Base64 Strings |Base64-encoded strings were detected, may be | | | |used to obfuscate strings (option --decode to| | | |see all) | +----------+--------------------+---------------------------------------------+ # olevba -aより
マクロの中身は、
LetsDefend level 1 alert SOC101 - Phishing Mail Detected event-id 25 - 4ensiX
LetsDefend level 1 alert SOC109 - Emotet Malware Detected event-id 39 - 4ensiX
に似ていることもあって、やはりemotetである。
ANYRUN: https://app.any.run/tasks/8df53175-78cf-4d48-b80e-dd348a5bbdc0/
同じハッシュの動作を見てみると、emotetのC2と通信しており、自動起動設定等々。Emotet.
Answer:Malicious
Check If Someone Requested the C2
DATE | TYPE | SOURCE ADDRESS | SOURCE PORT | DESTINATION ADDRESS | DESTINATION PORT |
---|---|---|---|---|---|
Oct, 20, 2020, 09:36 PM | Proxy | 172.16.17.41 | 12212 | 67.209.122.240 | 80 |
URL: http://www.drleenasreedhar.com/wordpress/x/
ANYRUNでアクセスされており、VirusTotalのレポートでも確認できるURLへのアクセスを確認した。このURLは、
URLhaus: https://urlhaus.abuse.ch/url/724279/
emotetだと、URLhausにも登録されている。
もう一つ、
|DATE |TYPE |SOURCE ADDRESS |SOURCE PORT |DESTINATION ADDRESS |DESTINATION PORT|
| --- | --- |---|---|---|---|
|Oct, 20, 2020, 09:36 PM| Proxy |172.16.17.41 |12322 |75.188.96.231| 80|
URL: http://75.188.96.231/neJlZRlu/3AanpZyfkiet/DyvSn/
こちらはemotet C2へのアクセスである。
Answer:Accessed
Containment
Endpoint Securityに見つからないので隔離済みですか。
Add Artifacts
Value | Type | Comment |
---|---|---|
f46b0c39fcfdf4c0426c9276a2bb48c6 | MD5 Hash | emotet malware |
http[:]//www.drleenasreedhar[.]com/wordpress/x/ | URL Address | download malware |
http[:]//75.188.96.231/neJlZRlu/3AanpZyfkiet/DyvSn/ | URL Address | emotet C2 |
End
LetsDefend level 1 alert SOC102 - Proxy - Suspicious URL Detected event-id 22
Details
EventID: 22
Event Time: Oct. 25, 2020, 9:26 p.m.
Rule: SOC102 - Proxy - Suspicious URL Detected
Level: Security Analyst
Source Address 172.16.17.55
Source Hostname Sofia
Destination Address 35.189.10.17
Destination Hostname stylefix.co
Username Sofia2020
Request URL http[:]//stylefix[.]co/guillotine-cross/CTRNOQ/
User Agent Mozilla/5.0 (Windows NT 5.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.90 Safari/537.36
Device Action Allowed
playbook
Search Log
DATE | TYPE | SOURCE ADDRESS | SOURCE PORT | DESTINATION ADDRESS | DESTINATION PORT |
---|---|---|---|---|---|
Oct, 19, 2020, 10:17 PM | Proxy | 172.16.17.55 | 32212 | 35.189.10.17 | 80 |
URL: http://stylefix.co/guillotine-cross/CTRNOQ/
よく分からないが今回のアラートはアクセスからアラートまでラグがある。
Analyze URL Address
アクセス先ip 35.189.10.17
ip-sc: https://ip-sc.net/ja/r/35.189.10.17
ipはGOOGLE-CLOUDのもの。オーストラリアらしい。
Suspicious URL: http[:]//stylefix[.]co/guillotine-cross/CTRNOQ/
今回のSuspicious URLは、
VirusTotal 9/93: https://www.virustotal.com/gui/url/b6267682185447125d614d2ec3347c5cadbb8654b30967ded48d8fd6aeccf4c1
URLhaus: https://urlhaus.abuse.ch/url/717005/
urlscan: https://urlscan.io/result/2b23f266-0010-495b-aac6-0a65d9b266cb/#summary
VTで見ると有名どころベンダーに登録されており、レポートではemotetとの関連があるらしい。
URLhausでは、emotetやheodoのダウンロードリンクとのレポートがある。
urlscanでは、Submission Tagsにemotetがある。
URLはMaliciousである。
Answer:Malicious
Has Anyone Accessed IP/URL/Domain?
Logと,
Device Action Allowed
より、アクセスしている。
Answer:Accessed
Containment
Containment.
Add Artifacts
Value | Type | Comment |
---|---|---|
http[:]//stylefix[.]co/guillotine-cross/CTRNOQ/ | URL Address | download emotet |
End
LetsDefend level 1 alert SOC101 - Phishing Mail Detected event-id 24
Details
EventID: 24
Event Time: Oct. 25, 2020, 9:32 p.m.
Rule: SOC101 - Phishing Mail Detected
Level: Security Analyst
SMTP Address 173.194.68.27
Source Address darcy.downey@gmail.com
Destination Address james@letsdefend.io
E-mail Subject Covid-19 News!
Device Action Blocked
Covid-19 News! From: darcy.downey@gmail.com Oct. 25, 2020, 9:32 p.m. To: james@letsdefend.io Oct. 25, 2020, 9:32 p.m. Hey, did you read breaking news about Covid-19. Open it now! Attachments 1ceda3ccc4e450088204e23409904fa8.zip
playbook
Are there attachments or URLs in the email?
Attachments
1ceda3ccc4e450088204e23409904fa8.zip
Answer:Yes
Analyze Url/Attachment
Attachments 1ceda3ccc4e450088204e23409904fa8
Attachmentsは、
$ md5sum 2740_48961172733_412.doc 1ceda3ccc4e450088204e23409904fa8 2740_48961172733_412.doc
.docのvbaの中身は、
LetsDefend level 1 alert SOC101 - Phishing Mail Detected event-id 25 - 4ensiX
LetsDefend level 1 alert SOC109 - Emotet Malware Detected event-id 39 - 4ensiX
のものに似ている。つまり、emotetですな。
VirusTotal 44/61: https://www.virustotal.com/gui/file/3f2d12e27bf3804eb2a416ec9c17b8a4b475d3e5e0e2ebbb9ef8a9eba2a500eb
Hybrid-Analysis: https://www.hybrid-analysis.com/sample/3f2d12e27bf3804eb2a416ec9c17b8a4b475d3e5e0e2ebbb9ef8a9eba2a500eb/5f99f7145b27a34ae23c038f
ANYRUN: https://app.any.run/tasks/bb6c540e-b217-401c-a5b2-86a60b9fdc99/
関連URLやIPはemotetと繋がりがあるとのレポートがあり、ANYRUNにはemotetのタグが。vbaの難読化の仕方は、マルウェアごとに癖があると考えていることからマルウェアファミリーに当たりをつけていけるのではと思っている。
Answer:Malicious
Check If Mail Delivered to User?
Device Action Blocked
Answer:Not Delivered
Add Artifacts
Value | Type | Comment |
---|---|---|
darcy.downey@gmail.com | E-mail Sender | |
1ceda3ccc4e450088204e23409904fa8 | MD5 Hash | emotet document |
End
Covid-19関連であったり、最近であればUkraineに関連するような話題であったりの怪しいメールには気をつけましょう。
LetsDefend level 1 alert SOC101 - Phishing Mail Detected event-id 25
Details
EventID: 25
Event Time: Oct. 29, 2020, 6:40 p.m.
Rule: SOC101 - Phishing Mail Detected
Level: Security Analyst
SMTP Address 157.230.109.166
Source Address aaronluo@cmail.carleton.ca
Destination Address mark@letsdefend.io
E-mail Subject UPS Your Packages Status Has Changed
Device Action Blocked
Email
UPS Your Packages Status Has Changed From: aaronluo@cmail.carleton.ca Oct. 29, 2020, 6:40 p.m. To: mark@letsdefend.io Oct. 29, 2020, 6:40 p.m. The status of your package has changed. Exception Reason: A transportation accident has delayed delivery. Exception Resolution: We've missed the scheduled transfer time. This may cause a delay. Please see attachment. Attachments 5a3de19f198269947bb509152678b7d2.zip
送信元 157.230.109.166
送信元のIPを確認する。
VirusTotal 8/90: https://www.virustotal.com/gui/ip-address/157.230.109.166
AbuseIPDB: https://www.abuseipdb.com/check/157.230.109.166
ip-sc: https://ip-sc.net/ja/r/157.230.109.166
IP元はDigitalOceanであり、様々な攻撃に利用されているようだ。
VTでは登録数は少ないが、AbuseIPDBが真っ赤になっているのは珍しい。
playbook
Are there attachments or URLs in the email?
Attachments
5a3de19f198269947bb509152678b7d2.zip
Answer:Yes
Analyze Url/Attachment
Attachments 5a3de19f198269947bb509152678b7d2
Attachmentは、
$ md5sum 0c55dae4a75373696f7af6d0a7db5092fbe4f15c3c92d8dc9433949837b5db92.docx 5a3de19f198269947bb509152678b7d2 0c55dae4a75373696f7af6d0a7db5092fbe4f15c3c92d8dc9433949837b5db92.docx $ olevba -a 0c55dae4a75373696f7af6d0a7db5092fbe4f15c3c92d8dc9433949837b5db92.docx (snip) +----------+--------------------+---------------------------------------------+ |Type |Keyword |Description | +----------+--------------------+---------------------------------------------+ |AutoExec |Document_open |Runs when the Word or Publisher document is | | | |opened | |Suspicious|Create |May execute file or a system command through | | | |WMI | |Suspicious|CreateObject |May create an OLE object | |Suspicious|showwindow |May hide the application | |Suspicious|Hex Strings |Hex-encoded strings were detected, may be | | | |used to obfuscate strings (option --decode to| | | |see all) | |Suspicious|Base64 Strings |Base64-encoded strings were detected, may be | | | |used to obfuscate strings (option --decode to| | | |see all) | +----------+--------------------+---------------------------------------------+ (snip)
.docxのvbaはここでは省略するが、
LetsDefend level 1 alert SOC109 - Emotet Malware Detected event-id 39 - 4ensiX で扱ったドキュメントのvbaに似ている。つまり、emotetなのでは。
VirusTotal 37/57: https://www.virustotal.com/gui/file/0c55dae4a75373696f7af6d0a7db5092fbe4f15c3c92d8dc9433949837b5db92
ANYRUN: https://app.any.run/tasks/d1e97947-9b4c-4472-9711-3487035abb31/
VTではemotetとは言われていないが、関連するURLを調べるとemotetに関するレポートに当たる。
ANYRUNでもemotetのタグが付いている。emotetでありMaliciousなドキュメントであることは間違いない。
Answer:Malicious
Check If Mail Delivered to User?
Device Action Blocked
Answer:Not Delivered
Add Artifacts
Value | Type | Comment |
---|---|---|
aaronluo@cmail.carleton.ca | E-mail Sender | |
cmail.carleton.ca | E-mail Domain | 157.230.109.166 - VT 8/90 |
5a3de19f198269947bb509152678b7d2 | MD5 Hash | emotet document |
End
そういえばUPSといえば、最近といっても3週間前だが
Researchers discover critical vulnerabilities in APC Smart-UPS devices | TechSpot
TLStorm: Three critical vulnerabilities discovered in APC Smart-UPS devices can allow attackers to remotely manipulate the power of millions of enterprise devices.
UPSの脆弱性の話題があった。ネットワーク越しにステータスが見れるだけでなく、ステータスの変更を行える機能もあるのですか。
あまり、UPSに詳しくないがステータスの確認だけでも良いと思うのだが。