Details

EventID: 40
Event Time: Jan. 2, 2021, 4:33 a.m.
Rule: SOC110 - Proxy - Cryptojacking Detected
Level: Security Analyst
Source Address 172.16.17.47
Source Hostname BillPRD
Destination Address 67.199.248.10
Destination Hostname bit.ly
Username Bill
Request URL https[:]//bit.ly/3hNuByx
User Agent Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Device Action Allowed

playbook

Search Log

関連するbit.lyへのアクセスは、

#	DATE	TYPE	SOURCE ADDRESS	SOURCE PORT	DESTINATION ADDRESS	DESTINATION PORT
333	Jan, 02, 2021, 04:33 AM	Proxy	172.16.17.47	45827	67.199.248.10	443

333

Request URL: https[:]//bit.ly/3hNuByx
Request Method: GET
Device Action: Allowed
Process: chrome.exe
Parent Process: explorer.exe
Parent Process MD5: 8b88ebbb05a0e56b7dcc708498c02b3e

特に手がかりとはなりそうにない。

Analyze URL Address

https[:]//bit.ly/3hNuByx

とりあえず、今回はANYRUNでアクセスしてみたが、
https://bit.ly/3hNuByx - Interactive analysis - ANY.RUN
youtubeに飛ばされた。(にしても皆さんRick Astley好きすぎでは)
IPはbit.lyなので調べても仕方が無い。
VirusTotal: https://www.virustotal.com/gui/url/adfec822d4fcad54498ca55f6226b88847752287fd08fc45f0c4c9fe1ebcb469/details
VirusTotalのdetailを見てもやはりRick Astley。Malwareらしいが根拠が分からない。
HYBRID-ANALYSIS: https://www.hybrid-analysis.com/sample/c75258d37589b2e0f993b1097642839b9d1571d9f36518ad636be474e93fa065/5ffcf027ac776500604d4369
レポートがあったが、Malicious Indicatorsに記載のものは今回のURLの話なのだろうか。違うのではないだろうか。
とりあえず現段階のこのURLは問題は無いと判断する。
Answer: Non-malicious

Add Artifacts

Value	Type	Comment
https[:]//bit.ly/3hNuByx	URL Address	Rick Astley

これはさすがにFPです。

End

f:id:Zarat:20220218210508p:plain — close alert event-id 40

にしても皆さんRick Astley好きすぎでは。気づかなかったが、FPを選んでもあっていれば表示はTPになっている。
bit[.]ly等の短縮urlだと調査が難しいので攻撃者が利用するのも分かる。短縮urlは一度サンドボックスのような環境でアクセスしてからアクセスして良いか判断するシステムがあれば良いのかもしれないが、ブラウザ利用時にストレスなく導入する方法はあるのかと聞かれると......。
うーーむ、難しい。