LetsDefend level 1 alert SOC121 - Proxy - Malicious Executable File Detected event-id 53
Details
EventID: 53
Event Time: Feb. 7, 2021, 12:19 p.m.
Rule: SOC121 - Proxy - Malicious Executable File Detected
Level: Security Analyst
Source Address 172.16.17.5
Source Hostname SusieHost
Destination Address 89.40.172.121
Destination Hostname gavrilobtcapikey2884238984928.netsons.org
Username Susie
Request URL http[:]//gavrilobtcapikey2884238984928.netsons.org/pianificazione.exe
User Agent Chrome - Windows
Device Action Blocked
playbook
Collection Data
- Source Address
172.16.17.5 - Destination Address
89.40.172.121 - User-Agent
Chrome - Windows
Search Log
89.40.172.121に関連するアクセスを確認する。
# | DATE | TYPE | SOURCE ADDRESS | SOURCE PORT | DESTINATION ADDRESS | DESTINATION PORT |
---|---|---|---|---|---|---|
350 | Feb, 07, 2021, 06:32 PM | Proxy | 172.16.17.5 | 56346 | 89.40.172.121 | 80 |
Request URL: http://gavrilobtcapikey2884238984928.netsons.org/pianificazione.exe Request Method: GET Device Action: Blocked Process: chrome.exe Parent Process: explorer.exe Parent Process MD5: 8b88ebbb05a0e56b7dcc708498c02b3e
一件のみ
Analyze URL Address
VirusTotal: https://www.virustotal.com/gui/ip-address/89.40.172.121
AbuseIPDB: https://www.abuseipdb.com/check/89.40.172.121
ip-sc: https://ip-sc.net/ja/r/89.40.172.121
IPに関しては特に問題ないか。
VirusTotal: https://www.virustotal.com/gui/domain/gavrilobtcapikey2884238984928.netsons.org
2件でのヒット、AviraとESETでのMalicious判定となった。
urlhaus: https://urlhaus.abuse.ch/url/992209/
さすがにここにあったら確定Malicious。AyncRATとのこと。また、ダウンロードするpianificazione.exeは、
VirusTotal: https://www.virustotal.com/gui/file/a487a9e3d3b6e246445818eef1ccfa3398c63b3a2195325431fd54adc35ea6d1/detection/f-a487a9e
Malicious!
また、pianificazione.exeはANY.RUNでも確認できた。
ANY.RUN: https://app.any.run/tasks/92a997fe-a692-460a-b537-dbaa7b116a46/
実行されるとまず、http[:]//gavrilobtcapikey2884238984928.netsons.org/Runtime%20Broker.exeをダウンロードする。
Runtime Broker.exeが実行され、自身をAutorunに追加して、同じプログラム:\Users\admin\AppData\Local\Temp\Runtime Broker.exeを実行する。
pastebin[.]comへのアクセスが見られ、何かを読み込んでいる。
Answer: Malicious
Has Anyone Accessed IP/URL/Domain?
Device Action: Blocked
ブロックしたので、
Answer: Not Accessed
Add Artifacts
Value | Type | Comment |
---|---|---|
89.40.172.121 | IP Address | gavrilobtcapikey2884238984928.netsons.org |
http[:]//gavrilobtcapikey2884238984928.netsons.org/pianificazione.exe | URL Address | download malware |
TPでファイナルアンサー。
End
何だかんだでurlhausの活躍をLetsDefendで初めて確認いたしました。