LetsDefend level 1 alert SOC136 - Data Leak via Mailbox Forwarding Detected event-id 74
Details
EventID: 74
Event Time: March 7, 2021, 5:31 p.m.
Rule: SOC136 - Data Leak via Mailbox Forwarding Detected
Level: Security Analyst
SMTP Address 172.16.20.3
Source Address katharine@letsdefend.io
Destination Address katharine.isabell@yandex.ru
E-mail Subject Blank
Device Action Blocked
playbook
確かにData Leakぽく見える。
Parse Email
いつ送られたかはMailboxから確認できたが、メールの送り先のyandex[.]ruのIPは4つあるようでどれに送られたか分からない。
LogManagementでMailが確認できなかったので送信先IPは分からず。そもそも、
Device Action Blocked
なので送られていないからLogに残らないのか。
- When was it sent?
March 7, 2021, 5:31 p.m. - What is the email's SMTP address?
77.88.55.88,77.88.55.80,5.255.255.88,5.255.255.5 - What is the sender address?
katharine@letsdefend.io - What is the recipient address?
katharine.isabell@yandex.ru
Are there attachments or URLs in the email?
Answer: No
yandex[.]ru
最近日本からurlscanを使った人がいた。
urlscan.io: https://urlscan.io/result/9f94bc4b-f10d-49cd-a4c8-ae6ea76c460b/
VirusTotal: https://www.virustotal.com/gui/domain/yandex.ru/
脅威検出はされていななさそう。そもそも、
ヤンデックス - Wikipedia
ロシアの検索エンジンなんですね。
ipで調べると怪しい動きをしていることもあるようだ。今回のメールの内容も怪しさは満載だが、中身が本物の権限なのか、はたまたどこの権限なのかが分からなければMaliciousとは判断できないがMaliciousよりではある。
内容は怪しいからTrue Positive
Add Artifacts
Value | Type | Comment |
---|---|---|
katharine@letsdefend.io | E-mail Sender | |
yandex.ru | E-mail Domain | Russian Search Engine |
77.88.55.88,77.88.55.80,5.255.255.88,5.255.255.5 | URL Address | yandex[.]ru |
End
手が滑った。TPでした。