LetsDefend level 1 alert SOC123 - Enumeration Tool Detected event-id 56
Details
EventID: 56
Event Time: Feb. 13, 2021, 4:47 p.m.
Rule: SOC123 - Enumeration Tool Detected
Level: Security Analyst
Source Address 172.16.20.4
Source Hostname gitServer
Destination Address 185.199.109.133
Destination Hostname githubusercontent.com
Username Jack
Request URL https[:]//raw.githubusercontent[.]com/rebootuser/LinEnum/master/LinEnum.sh
User Agent Wget/1.19.4 (linux-gnu)
Device Action Allowed
playbook
Collection Data
- Source Address
172.16.20.4 - Destination Address
185.199.109.133 - User-Agent
Wget/1.19.4 (linux-gnu)
Search Log
185.199.109.133
VirusTotal: https://www.virustotal.com/gui/ip-address/185.199.109.133/detection
AbuseIPDB: https://www.abuseipdb.com/check/185.199.109.133
ip-sc :https://ip-sc.net/ja/r/185.199.109.133
脅威として登録されてはいない。というか、そもそもgithub。
Log
185.199.109.133
| # | DATE | TYPE | SOURCE ADDRESS | SOURCE PORT | DESTINATION ADDRESS | DESTINATION PORT |
|---|---|---|---|---|---|---|
| 352 | Feb, 13, 2021, 04:46 PM | Proxy | 172.16.20.4 | 44221 | 185.199.109.133 | 443 |
| 353 | Feb, 13, 2021, 04:47 PM | Firewall | 172.16.20.4 | 44221 | 185.199.109.133 | 443 |
352
URL: https://raw.githubusercontent.com/rebootuser/LinEnum/master/LinEnum.sh Device Actiov: Allowed
353
No Log
githubのアクセスを見るよりも、周辺時期の172.16.20.4に関わるアクセスを見た方が良いのでは。
172.16.20.4
172.16.20.4に関連する1か月ほどのログを確認する。
| # | DATE | TYPE | SOURCE ADDRESS | SOURCE PORT | DESTINATION ADDRESS | DESTINATION PORT |
|---|---|---|---|---|---|---|
| 352 | Feb, 13, 2021, 04:46 PM | Proxy | 172.16.20.4 | 44221 | 185.199.109.133 | 443 |
| 353 | Feb, 13, 2021, 04:47 PM | Firewall | 172.16.20.4 | 44221 | 185.199.109.133 | 443 |
| 356 | Feb, 14, 2021, 01:01 PM | Firewall | 172.16.20.5 | 45873 | 172.16.20.4 | 443 |
| 358 | Feb, 22, 2021, 04:31 PM | Proxy | 49.234.71.65 | 42212 | 172.16.20.4 | 80 |
| 359 | Feb, 22, 2021, 04:32 PM | Proxy | 49.234.71.65 | 42212 | 172.16.20.4 | 80 |
| 360 | Feb, 22, 2021, 04:33 PM | Proxy | 49.234.71.65 | 42212 | 172.16.20.4 | 80 |
| 361 | Feb, 21, 2021, 07:57 PM | Proxy | 49.234.71.65 | 33212 | 172.16.20.4 | 80 |
| 362 | Feb, 21, 2021, 05:02 PM | Proxy | 172.16.20.4 | 80 | 49.234.71.65 | 33212 |
| 363 | Feb, 21, 2021, 05:02 PM | Proxy | 49.234.71.65 | 33212 | 172.16.20.4 | 80 |
| 364 | Feb, 21, 2021, 05:02 PM | Proxy | 172.16.20.4 | 80 | 49.234.71.65 | 33212 |
ここで#356は、LetsDefend level 1 alert SOC127 - SQL Injection Detected event-id 60 - 4ensiX
49.234.71.65に関連するアクセスは、LetsDefend level 1 alert SOC129 - Successful Local File Inclusion event-id 63 - 4ensiX , LetsDefend level 1 alert SOC128 - Malicious File Upload Attempt event-id 62 - 4ensiXに関わるもの。
つまり、LinEnum.shは49.234.71.65からのアクセスの事前準備だろうか。しかし、任意のファイルダウンロードができるならそこからshellの奪取等もできそうだが。
Analyze URL Address
先ほども調べた通りIP自体はgithubである。LinEnum.shはシステム情報の列挙を行うツールなのでMaliciousと判定する。
Answer: Malicious
Has Anyone Accessed IP/URL/Domain?
LinEnum.shのダウンロードのためのgithubへのアクセスがあり、これはblockされていないので
Answer: Accessed
Containment
Containment!
Add Artifacts
| Value | Type | Comment |
|---|---|---|
| 185.199.109.133 | IP Address | raw.githubusercontent.com |
| https://raw.githubusercontent.com/rebootuser/LinEnum/master/LinEnum.sh | URL Address | Enumeration Tool |
今回はTrue Positive
End
