4ensiX

4ensiX

FPと言ったものはFPを選んだが表示はTPになっていることに気づいた。

LetsDefend level 1 alert SOC110 - Proxy - Cryptojacking Detected event-id 40

Details

EventID: 40
Event Time: Jan. 2, 2021, 4:33 a.m.
Rule: SOC110 - Proxy - Cryptojacking Detected
Level: Security Analyst
Source Address 172.16.17.47
Source Hostname BillPRD
Destination Address 67.199.248.10
Destination Hostname bit.ly
Username Bill
Request URL https[:]//bit.ly/3hNuByx
User Agent Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Device Action Allowed

playbook

Search Log

関連するbit.lyへのアクセスは、

# DATE TYPE SOURCE ADDRESS SOURCE PORT DESTINATION ADDRESS DESTINATION PORT
333 Jan, 02, 2021, 04:33 AM Proxy 172.16.17.47 45827 67.199.248.10 443

333

Request URL: https[:]//bit.ly/3hNuByx
Request Method: GET
Device Action: Allowed
Process: chrome.exe
Parent Process: explorer.exe
Parent Process MD5: 8b88ebbb05a0e56b7dcc708498c02b3e

特に手がかりとはなりそうにない。

Analyze URL Address

https[:]//bit.ly/3hNuByx

とりあえず、今回はANYRUNでアクセスしてみたが、
https://bit.ly/3hNuByx - Interactive analysis - ANY.RUN
youtubeに飛ばされた。(にしても皆さんRick Astley好きすぎでは)
IPはbit.lyなので調べても仕方が無い。
VirusTotal: https://www.virustotal.com/gui/url/adfec822d4fcad54498ca55f6226b88847752287fd08fc45f0c4c9fe1ebcb469/details
VirusTotalのdetailを見てもやはりRick AstleyMalwareらしいが根拠が分からない。
HYBRID-ANALYSIS: https://www.hybrid-analysis.com/sample/c75258d37589b2e0f993b1097642839b9d1571d9f36518ad636be474e93fa065/5ffcf027ac776500604d4369
レポートがあったが、Malicious Indicatorsに記載のものは今回のURLの話なのだろうか。違うのではないだろうか。
とりあえず現段階のこのURLは問題は無いと判断する。
Answer: Non-malicious

Add Artifacts

Value Type Comment
https[:]//bit.ly/3hNuByx URL Address Rick Astley

これはさすがにFPです。

End

f:id:Zarat:20220218210508p:plain
close alert event-id 40

にしても皆さんRick Astley好きすぎでは。気づかなかったが、FPを選んでもあっていれば表示はTPになっている。
bit[.]ly等の短縮urlだと調査が難しいので攻撃者が利用するのも分かる。短縮urlは一度サンドボックスのような環境でアクセスしてからアクセスして良いか判断するシステムがあれば良いのかもしれないが、ブラウザ利用時にストレスなく導入する方法はあるのかと聞かれると......。
うーーむ、難しい。