LetsDefend level 1 alert SOC101 - Phishing Mail Detected event-id 34
Details
EventID: 34
Event Time: Dec. 5, 2020, 10:33 p.m.
Rule: SOC101 - Phishing Mail Detected
Level: Security Analyst
SMTP Address 112.85.42.180
Source Address admin@netflix-payments.com
Destination Address emily@letsdefend.io
E-mail Subject Netflix Deals!
Device Action Allowed
playbook
E-mail Subject: Netflix Deals! From: admin@netflix-payments.com admin@netflix-payments.com Dec. 5, 2020, 10:33 p.m. -> To: emily@letsdefend.io emily@letsdefend.io Dec. 5, 2020, 10:33 p.m. Hey, Register now and get 2 months free membership! http://bit.ly/3ecXem52 Netflix.
Are there attachments or URLs in the email?
Answer:Yes
Analyze Url/Attachment
http[:]//bit.ly/3ecXem52
リンク先の確認を行う。
とりあえずのところ、現在はリンク先を確認できない。
Hybrid-Analysis: https://www.hybrid-analysis.com/sample/3be0a7d94496ea7176e45463e09429f856a0f5cf2321c5378c363439a94b3921/5fcf987e5b15c81b920f89c9
Malicious Indicatorsがあるがbit.lyに対してである。よくよくスクリーンショット見てみると、リンク先が確認できている訳ではなさそうだ。
netflix-payments.com
送信元ドメインを調査する。
VirusTotal: https://www.virustotal.com/gui/domain/netflix-payments.com
Hybrid-Analysis: https://www.hybrid-analysis.com/sample/e7197871d3093a8c017544dd0cffcac5c457b581d400bc286a2f55949d278994?environmentId=120
過去にはVirusTotalで3/79というレポートがある。リンク先の内容はこちらでも確認できない。
ViewDNS whois: https://viewdns.info/whois/?domain=netflix-payments.com
そもそも、ドメインレジストラを使っていたりNetflixと関係は無さそうで怪しい。
112.85.42.180
送信元のIPを調査する。
VirusTotal: https://www.virustotal.com/gui/ip-address/112.85.42.180
AbuseIPDB: https://www.abuseipdb.com/check/112.85.42.180
ip-sc: https://ip-sc.net/ja/r/112.85.42.180
Hybrid-Analysis: https://www.hybrid-analysis.com/sample/004e716bb3c39e8f56a9a468e3db239410685b7d2f8eb97d07f9fc89adffb465?environmentId=120
SSH bruteforce attack元であるというレポートが複数確認された。
過去にはVirusTotalで7/73というレポートがある。
これはMaliciousであると判断する。
Answer:Malicious
Check If Mail Delivered to User?
Device Action Allowed
Answer:Delivered
Check If Someone Opened the Malicios File/URL?
Log Searchにはhttp[:]//bit.ly/3ecXem52へのアクセスを確認されず。
Answer:Not Opened
Add Artifacts
| Value | Type | Comment |
|---|---|---|
| admin@netflix-payments.com | E-mail Sender | |
| netflix-payments.com | E-mail Domain | godaddy - domain reristrar |
| http[:]//bit.ly/3ecXem52 | URL Address | |
| 112.85.42.180 | IP Address | VirusTotal - 7/73. SSH bruteforce attack IP. |
True Positive.
End
ログに無かったためにhttp[:]//bit.ly/3ecXem52へアクセスしていないと考えたが違ったようだ。
Endpointを確認してみると、
Browser History 2020-12-05 14:13: https://github.com/SecurityRiskAdvisors/VECTR/blob/master/VECTREndUserLicenseAgreement.pdf 2020-12-05 14:14: https://github.com/SecurityRiskAdvisors 2020-12-05 14:15: https://github.com/SecurityRiskAdvisors/VECTR 2020-12-05 14:16: https://github.com/SecurityRiskAdvisors/VECTR/blob/master/README.md 2020-12-05 22:13: http://bit.ly/3ecXem52 2020-12-05 22:15: http://places.hayatistanbul.net/wp-content/themes/Netflix
確かにアクセスしている。今後は何らかの要因でログに記録されないことも見据えて、ログだけでなくEndpointの調査を必要そうだ。
さらに言えば、wordpressのNetFlixテーマ?にアクセスしているのも気になるが、このURLだけではほとんど情報が確認できないため今回はこの調査は見送る。
