4ensiX

4ensiX

FPと言ったものはFPを選んだが表示はTPになっていることに気づいた。

LetsDefend level 1 alert SOC108 - Malicious Remote Access Software Detected event-id 38

LetsDefend

Details

EventID: 38
Event Time: Jan. 1, 2021, 5:36 p.m.
Rule: SOC108 - Malicious Remote Access Software Detected
Level: Security Analyst
Source Address 172.16.17.33
Source Hostname ConsultantPRD
File Name AnyDesk.exe
File Hash ff6bbddc34cbd33e2501872b97c4bacd
File Size 2.85 Mb
Device Action Allowed
Download (Password:infected): ff6bbddc34cbd33e2501872b97c4bacd.zip

playbook

Define Threat Indicator

Answer:Other

Check if the malware is quarantined/cleaned

ConsultantPRD自体は確認できないが、

Device Action Allowed

のため
Answer: Not Quarantined

Analyze Malware

ff6bbddc34cbd33e2501872b97c4bacd

VirusTotal: https://www.virustotal.com/gui/file/6f4a78da5c19afba57637bd344213d5ff55fb69dc343d6a6c79b0696ce53eaa0/behavior
リモートデスクトップアプリのAnydeskだと思われる。
アプリ自体はMaliciousではない。Remote Access Software Detectedは間違っていないが。
Hybrid-analysis: https://www.hybrid-analysis.com/sample/6f4a78da5c19afba57637bd344213d5ff55fb69dc343d6a6c79b0696ce53eaa0/5d7905600288387906d26d3c
ここだとMalicious判定になっている。リモートデスクトップアプリを超えた怪しいものは無さそうに見えるが、もしかするとリモートデスクトップアプリは全てMalicious判定となるのだろうか。
ANYRUN: https://app.any.run/tasks/88ae4762-f6f0-47c4-b744-1fcf01a55721/
ANYRUNで同じハッシュの動作を見ると、いくつかのIndicatorが付いているがこれはAnyDeskの機能が怪しい動作ということなのか。通信先は正規のものしかない。
これは知らなかったのだが、ANYRUNでTeamviwer等リモートデスクトップアプリを調べると軒並みMalicious判定されているため動作としてはMalwareに近いのだろう。
AnyDesk自体が乗っ取られたというような話が無ければ問題無いと判断しても良いのではないか。
AnyDesk Bundled with New Ransomware Variant
AnyDesk Virus - Easy removal steps (updated)
AvosLocker Ransomware Uses AnyDesk in Safe Mode to Launch
Anydesk Software Exploited to Spread Babuk Ransomware
AnyDeskはマルウェアにバンドルされていたり、偽のサイトからダウンロードさせるものはあったようだが。正規のソフトにバックドアであったりを仕込んだという話は無かったので、今回のものはMaliciousではないと判断する。
マルウェアがダウンロードして利用するソフトであるためにアラートに登録されていそうだ。

Log search - 172.16.17.33

対象のホストからの通信ログを見ていく

# DATE TYPE SOURCE ADDRESS SOURCE PORT DESTINATION ADDRESS DESTINATION PORT
328 Jan, 01, 2021, 05:37 PM Firewall 172.16.17.33 43331 146.0.234.85 80
329 Jan, 01, 2021, 05:36 PM Firewall 172.16.17.33 44121 134.119.217.177 443
340 Jan, 31, 2021, 06:13 PM Firewall 172.16.17.33 32112 105.103.253.204 2017
341 Jan, 31, 2021, 06:13 PM Firewall 172.16.17.33 31233 105.103.253.204 2017

328

Domain: relay-61e0b722.net.anydesk.com
Request Method: GET

329

Domain: boot-01.net.anydesk.com
Request Method: GET




ダウンロード以降に通信しているということはインストールしたということか。 340と341はログ無し。通信先に問題は無さそうだ。




Answer: Non-malicious

Add Artifacts

Value Type Comment
ff6bbddc34cbd33e2501872b97c4bacd MD5 Hash AnyDesk - Remote Access Software

FPでしょう。

End

f:id:Zarat:20220220204137p:plain
close alert event-id 38

リモートデスクトップアプリをポリシーで禁止にしてしまえば、全て怪しいと断定できる。
今回の話は、VirusTotalで始めにNon-Maliciousを確認したことでFPなのではという考え方が常に初めにあったが、先日Discordで友達のアカウントから回ってきたプログラムがマルウェアだった話もあるので、疑うところから入った方が良い。
ただ、プログラム的にマルウェアに近い動作をすることが正常なものもあると思われるので、迷った場合にはプログラムの解析を行い通信先をあぶりだすか、ランサムウェアのような動きをするかどうかの確認が必要になりそうだ。
FPを選んでもあっていれば表示はTPになっている。