LetsDefend level 1 alert SOC124 - Scheduled Task Created event-id 57
Details
EventID: 57
Event Time: Feb. 14, 2021, 11:17 a.m.
Rule: SOC124 - Scheduled Task Created
Level: Security Analyst
Source Address 172.16.17.83
Source Hostname Maxim
File Name GoogleUpdate.exe
File Hash 82f657b0aee67a6a560321cf0927f9f7
File Size 151.29 KB
Device Action Blocked
Download (Password:infected): 82f657b0aee67a6a560321cf0927f9f7.zip
playbook
Define Threat Indicator
Scheduled Task Createdだが、システムブート時ではないので
Answer: Other
Check if the malware is quarantined/cleaned
Check Endpoint - Maxim
CMD History
01.01.2021 10:21: ipconfig 01.01.2021 10:22: netsh interface ipv4 show config 01.01.2021 10:23: arp -a 14.02.2021 11:16: SCHTASKS /CREATE /SC DAILY /TN GoogleUpdateTaskMachineCore /TR C:/Program Files (x86)/Google/Update/GoogleUpdate.exe /ST 11:00
今回のアラートの原因はこちら。
Process Historyを見ると気になるものもあるが、関連性が分からないので一旦置いておく。
実行してすぐにBlockした。
Answer: Quarantined
Analyze Malware
VirustTotal: https://www.virustotal.com/gui/file/794cf7644115198db451431bca7c89ff9a97550482b1e3f7f13eb7aca6120a11/detection
Hybrid Analysis : https://www.hybrid-analysis.com/search?query=82f657b0aee67a6a560321cf0927f9f7
Joe Sandbox: https://www.joesandbox.com/search?q=82f657b0aee67a6a560321cf0927f9f7
Non-Malicious!
コマンドラインにも違和感は無く、同時期に怪しい操作も無かったため、
Answer Non-malicious
Add Artifacts
| Value | Type | Comment |
|---|---|---|
| 82f657b0aee67a6a560321cf0927f9f7 | MD5 Hash | "GoogleUpdate.exe" Created Scheduled Task |
End
Check if the malware is quarantined/cleaned (-5 Point)
コマンド実行自体は実行されてからブロックされたが、実行ファイル自体はブロックされていないからか。
