4ensiX

4ensiX

FPと言ったものはFPを選んだが表示はTPになっていることに気づいた。

LetsDefend level 1 alert SOC101 - Phishing Mail Detected event-id 34

Details

EventID: 34
Event Time: Dec. 5, 2020, 10:33 p.m.
Rule: SOC101 - Phishing Mail Detected
Level: Security Analyst
SMTP Address 112.85.42.180
Source Address admin@netflix-payments.com
Destination Address emily@letsdefend.io
E-mail Subject Netflix Deals!
Device Action Allowed

playbook

E-mail Subject: Netflix Deals!

From: admin@netflix-payments.com
admin@netflix-payments.com Dec. 5, 2020, 10:33 p.m.
->
To: emily@letsdefend.io
emily@letsdefend.io Dec. 5, 2020, 10:33 p.m.


Hey,

Register now and get 2 months free membership!

http://bit.ly/3ecXem52

Netflix.

Are there attachments or URLs in the email?

Answer:Yes

Analyze Url/Attachment

http[:]//bit.ly/3ecXem52

リンク先の確認を行う。
とりあえずのところ、現在はリンク先を確認できない。
Hybrid-Analysis: https://www.hybrid-analysis.com/sample/3be0a7d94496ea7176e45463e09429f856a0f5cf2321c5378c363439a94b3921/5fcf987e5b15c81b920f89c9
Malicious Indicatorsがあるがbit.lyに対してである。よくよくスクリーンショット見てみると、リンク先が確認できている訳ではなさそうだ。

netflix-payments.com

送信元ドメインを調査する。
VirusTotal: https://www.virustotal.com/gui/domain/netflix-payments.com
Hybrid-Analysis: https://www.hybrid-analysis.com/sample/e7197871d3093a8c017544dd0cffcac5c457b581d400bc286a2f55949d278994?environmentId=120
過去にはVirusTotalで3/79というレポートがある。リンク先の内容はこちらでも確認できない。
ViewDNS whois: https://viewdns.info/whois/?domain=netflix-payments.com
そもそも、ドメインレジストラを使っていたりNetflixと関係は無さそうで怪しい。

112.85.42.180

送信元のIPを調査する。
VirusTotal: https://www.virustotal.com/gui/ip-address/112.85.42.180
AbuseIPDB: https://www.abuseipdb.com/check/112.85.42.180
ip-sc: https://ip-sc.net/ja/r/112.85.42.180
Hybrid-Analysis: https://www.hybrid-analysis.com/sample/004e716bb3c39e8f56a9a468e3db239410685b7d2f8eb97d07f9fc89adffb465?environmentId=120
SSH bruteforce attack元であるというレポートが複数確認された。
過去にはVirusTotalで7/73というレポートがある。
これはMaliciousであると判断する。

Answer:Malicious

Check If Mail Delivered to User?

Device Action Allowed

Answer:Delivered

Check If Someone Opened the Malicios File/URL?

Log Searchにはhttp[:]//bit.ly/3ecXem52へのアクセスを確認されず。
Answer:Not Opened

Add Artifacts

Value Type Comment
admin@netflix-payments.com E-mail Sender
netflix-payments.com E-mail Domain godaddy - domain reristrar
http[:]//bit.ly/3ecXem52 URL Address
112.85.42.180 IP Address VirusTotal - 7/73. SSH bruteforce attack IP.

True Positive.

End

f:id:Zarat:20220301235832p:plain
close alert 34

ログに無かったためにhttp[:]//bit.ly/3ecXem52へアクセスしていないと考えたが違ったようだ。
Endpointを確認してみると、

Browser History

2020-12-05 14:13: https://github.com/SecurityRiskAdvisors/VECTR/blob/master/VECTREndUserLicenseAgreement.pdf
2020-12-05 14:14: https://github.com/SecurityRiskAdvisors
2020-12-05 14:15: https://github.com/SecurityRiskAdvisors/VECTR
2020-12-05 14:16: https://github.com/SecurityRiskAdvisors/VECTR/blob/master/README.md
2020-12-05 22:13: http://bit.ly/3ecXem52
2020-12-05 22:15: http://places.hayatistanbul.net/wp-content/themes/Netflix

確かにアクセスしている。今後は何らかの要因でログに記録されないことも見据えて、ログだけでなくEndpointの調査を必要そうだ。
さらに言えば、wordpressNetFlixテーマ?にアクセスしているのも気になるが、このURLだけではほとんど情報が確認できないため今回はこの調査は見送る。