LetsDefend level 1 alert SOC113 - Suspicious hh.exe Usage event-id 44
Details
EventID: 44
Event Time: Jan. 31, 2021, 4:59 p.m.
Rule: SOC113 - Suspicious hh.exe Usage
Level: Security Analyst
Source Address 172.16.17.47
Source Hostname BillPRD
File Name WinRAR.chm
File Hash 07694464c25bac4ecdb365e928ffe1ff
File Size 306 KB
Device Action Allowed
Download (Password:infected): 07694464c25bac4ecdb365e928ffe1ff.zip
playbook
Define Threat Indicator
Answer:Other
Check if the malware is quarantined/cleaned
Endpoint - BillPRD
CMD History
31.01.2021 16:43: hh.exe c:/program files/winrar/winrar.chm
このコマンドが実行され、Jan. 31, 2021, 4:59 p.m.にアラートが上がった。
Answer: Not Quarantined
Analyze Malware
WinRAR.chm
VirusTotal 1/57: https://www.virustotal.com/gui/file/d7e601bce098797f3f76f6cdd6fb49a011b4fb86ea060196c7cf2ec21bb9b5ae
脅威判定はされていないが、分からない。
$ file WinRAR.chm WinRAR.chm: MS Windows HtmlHelp Data
chmの中身はバイナリで読めない部分があり、解析ツールを見つけることができなかったため実行すると、
WinRARのマニュアルのようなものが出現した。触ってみたところ問題は無いように思える。
cmdやpoweshellのスクリプトが埋まっているわけでもなく、exeがあるわけでもない。謎の通信先も無い。
問題無いと判断した。
Answer: Non-malicious
Add Artifacts
| Value | Type | Comment |
|---|---|---|
| 07694464c25bac4ecdb365e928ffe1ff | MD5 Hash | WinRAR.chm - Non malicious |
つまり、今回のアラートはFPである。
End
もし次回.chmファイルの解析が必要になったならば、読み込まれているファイルを確認すれば良さそうか。
Help me trojanize you - Microsoft Compiled HTML Help is back for another round - REAL security
