4ensiX

4ensiX

FPと言ったものはFPを選んだが表示はTPになっていることに気づいた。

LetsDefend level 1 alert SOC138 - Detected Suspicious Xls File event-id 77

LetsDefend Malware

Details

EventID: 77
Event Time: March 13, 2021, 8:20 p.m.
Rule: SOC138 - Detected Suspicious Xls File
Level: Security Analyst
Source Address 172.16.17.55
Source Hostname Sofia
File Name ORDER SHEET & SPEC.xlsm
File Hash 7ccf88c0bbe3b29bf19d877c4596a8d4
File Size 2.66 Mb
Device Action Allowed
Download (Password:infected): 7ccf88c0bbe3b29bf19d877c4596a8d4.zip

playbook

Define Threat Indicator

とりあえず、「Detected Suspicious Xls File」であるから
Answer: Other

Check if the malware is quarantined/cleaned

EndpointManagement

https://i.imgur.com/2cYUaj3.png
https://i.imgur.com/Hoh7Sb7.png
いや、訳分らん。
(追記)
管理者によると間違えだったようだ。

結局ipがどちら分からないが、そもそも

Device Action Allowed

なので
Answer: Not Quarantined

Analyze Malware

ORDER SHEET & SPEC.xlsm

MD5: 7ccf88c0bbe3b29bf19d877c4596a8d4
「ORDER SHEET & SPEC.xlsm」の調査を行う。
VirusTotal: https://www.virustotal.com/gui/file/7bcd31bd41686c32663c7cabf42b18c50399e3b3b4533fc2ff002d9f2e058813
Malicious!
AnyRun: https://app.any.run/tasks/dced0aa1-0dd9-4bab-8a7e-06c976bdfd61
excel開いて、「EQNEDT32.EXE」が悪さしている。

f:id:Zarat:20220111192817p:plain
EQNEDT32.EXE

この「CVE-2017-11882」知りませんでした。勉強不足です。17年来の数式エディタの脆弱性とのこと。
Microsoft 数式エディタの脆弱性を悪用するエクスプロイト – Naked Security
CVE-2017-11882 - 脆弱性調査レポート | SBテクノロジー (SBT)
ここで、アクセス先の確認を行う。

177.53.143.89

VIrusTotal: https://www.virustotal.com/gui/ip-address/177.53.143.89
ip-sc: https://ip-sc.net/ja/r/177.53.143.89
ipではmaliciousなデータは無い。

multiwaretecnologia.com[.]br

urlsca.io(10か月前): https://urlscan.io/result/b7839d8d-706f-450b-99f7-a46ed8659a80/
urlsca.io(現在): https://urlscan.io/result/99b3beb5-3aa4-448d-a5c3-41ea3f4a1be9/
しっかりした企業に見えなくもない?(10か月前)
今は、もう動いていないように見える。サイトが乗っ取られたのだろうか。


Answer: Malicious

Check If Someone Requested the C2

LogManagement

177.53.143.89へのアクセスは確認した。

f:id:Zarat:20220111210158p:plain
log search 177.53.143.89

  • Mar, 13, 2021, 05:20 PM Firewall 172.16.17.55 52155 177.53.143.89 443
Data: ....}...y..K|Í|.....y.<§¢jJê#.....mrZ¡.Ã..../.5....À.À.À.À..2.8.......8ÿ.............multiwaretecnologia.com.br................
  • Mar, 13, 2021, 05:20 PM Firewall 172.16.17.55 52155 177.53.143.89 443
Data: ....5...1..K|ÍtV.kE...Ù.c..b§.7rÊb.?&........ÿ..

Answer: Accessed
つまりSofiaが違ったということだろうか。

Add Artifacts

Value Type Comment
7ccf88c0bbe3b29bf19d877c4596a8d4 MD5 Hash malicious xls file
177.53.143.89 IP Address accessed from xls file

End

f:id:Zarat:20220111205904p:plain
close alert event-id 77

今度xlsに出会ったらマクロの中身も解析する。