4ensiX

4ensiX

FPと言ったものはFPを選んだが表示はTPになっていることに気づいた。

LetsDefend level 1 alert SOC121 - Proxy - Malicious Executable File Detected event-id 53

Details

EventID: 53
Event Time: Feb. 7, 2021, 12:19 p.m.
Rule: SOC121 - Proxy - Malicious Executable File Detected
Level: Security Analyst
Source Address 172.16.17.5
Source Hostname SusieHost
Destination Address 89.40.172.121
Destination Hostname gavrilobtcapikey2884238984928.netsons.org
Username Susie
Request URL http[:]//gavrilobtcapikey2884238984928.netsons.org/pianificazione.exe
User Agent Chrome - Windows
Device Action Blocked

playbook

Collection Data

Search Log

89.40.172.121に関連するアクセスを確認する。

# DATE TYPE SOURCE ADDRESS SOURCE PORT DESTINATION ADDRESS DESTINATION PORT
350 Feb, 07, 2021, 06:32 PM Proxy 172.16.17.5 56346 89.40.172.121 80
Request URL: http://gavrilobtcapikey2884238984928.netsons.org/pianificazione.exe
Request Method: GET
Device Action: Blocked
Process: chrome.exe
Parent Process: explorer.exe
Parent Process MD5: 8b88ebbb05a0e56b7dcc708498c02b3e

一件のみ

Analyze URL Address

VirusTotal: https://www.virustotal.com/gui/ip-address/89.40.172.121
AbuseIPDB: https://www.abuseipdb.com/check/89.40.172.121
ip-sc: https://ip-sc.net/ja/r/89.40.172.121
IPに関しては特に問題ないか。
VirusTotal: https://www.virustotal.com/gui/domain/gavrilobtcapikey2884238984928.netsons.org
2件でのヒット、AviraとESETでのMalicious判定となった。
urlhaus: https://urlhaus.abuse.ch/url/992209/
さすがにここにあったら確定Malicious。AyncRATとのこと。また、ダウンロードするpianificazione.exeは、
VirusTotal: https://www.virustotal.com/gui/file/a487a9e3d3b6e246445818eef1ccfa3398c63b3a2195325431fd54adc35ea6d1/detection/f-a487a9e
Malicious!
また、pianificazione.exeはANY.RUNでも確認できた。 ANY.RUN: https://app.any.run/tasks/92a997fe-a692-460a-b537-dbaa7b116a46/
実行されるとまず、http[:]//gavrilobtcapikey2884238984928.netsons.org/Runtime%20Broker.exeをダウンロードする。
Runtime Broker.exeが実行され、自身をAutorunに追加して、同じプログラム:\Users\admin\AppData\Local\Temp\Runtime Broker.exeを実行する。
pastebin[.]comへのアクセスが見られ、何かを読み込んでいる。


Answer: Malicious

Has Anyone Accessed IP/URL/Domain?

Device Action: Blocked

ブロックしたので、
Answer: Not Accessed

Add Artifacts

Value Type Comment
89.40.172.121 IP Address gavrilobtcapikey2884238984928.netsons.org
http[:]//gavrilobtcapikey2884238984928.netsons.org/pianificazione.exe URL Address download malware

TPでファイナルアンサー。

End

f:id:Zarat:20220205015656p:plain
close alert event-id 53

何だかんだでurlhausの活躍をLetsDefendで初めて確認いたしました。