LetsDefend level 1 alert SOC104 - Malware Detected event-id 36
Details
EventID: 36
Event Time: Dec. 1, 2020, 10:23 a.m.
Rule: SOC104 - Malware Detected
Level: Security Analyst
Source Address 10.15.15.18
Source Hostname AdamPRD
File Name Invoice.exe
File Hash f83fb9ce6a83da58b20685c1d7e1e546
File Size 473.00 KB
Device Action Allowed
Download (Password:infected): f83fb9ce6a83da58b20685c1d7e1e546.zip
playbook
Define Threat Indicator
Answer:Other
Check if the malware is quarantined/cleaned
Answer:Not Quarantined
Analyze Malware
f83fb9ce6a83da58b20685c1d7e1e546
VirusTotal 59/70: https://www.virustotal.com/gui/file/e8a091a84dd2ea7ee429135ff48e9f48f7787637ccb79f6c3eb42f34588bc684
Hybrid-Analysis: https://www.hybrid-analysis.com/sample/e8a091a84dd2ea7ee429135ff48e9f48f7787637ccb79f6c3eb42f34588bc684/5fcd31635d0d89567317ef92
VirusTotalの結果がここまで真っ赤なのであればマルウェアであることには間違いなさそうだ。VirusTotalのレポートには、92.63.X.Xへのアクセスが多いこととmazeの名前が見られる。
Hybrid-Analysisのレポートには、
Deletes volume snapshots (often used by ransomware) - details Deletes volume snapshots files "WMIC.exe" with commandline "shadowcopy delete"
とある。これは実は知らなかったのだが、ランサムウェアはバックアップもちゃんと消した上でランサムするのですね。
ANYRUN: https://app.any.run/tasks/9f011389-db62-4de7-8d26-9bc04cec2534/
実行すると、ファイルを書き換え、Firefoxのデータを取得したり、バックアップを消す。
ANYRUNからmazeランサムウェアであることが分かった。
Maze Malware Analysis, Overview by ANY.RUN
Maze creators revealed that after infecting the initial endpoint, their ransomware targets cloud backups by laterally spreading through the network and stealing needed credentials.
バックアップをとことん削除まで狙うのはmazeの特徴なのだろうか。
さて、肝心のマルウェアだがexeファイルの解析は未だほとんどできないので今後に期待いただきたい。
Log Search
先ほど上がったC2サーバ92.63.X.Xへのアクセスはあるかを確認すると、
| # | DATE | TYPE | SOURCE ADDRESS | SOURCE PORT | DESTINATION ADDRESS | DESTINATION PORT |
|---|---|---|---|---|---|---|
| Dec, 01, 2020, 10:30 AM | Proxy | 10.15.15.18 | 49832 | 92.63.8.47 | 443 |
URL: http://92.63.8.47/
これは実行されていそうだ。Endpointにログが見つからないが実行されたと判断して良さそうだ。
92.63.8.47
VirusTotal: https://www.virustotal.com/gui/ip-address/92.63.8.47/detection
ip-sc : https://ip-sc.net/ja/r/92.63.8.47
アクセス先はトルコのサーバである。MAZE.
Answer:Malicious
Check If Someone Requested the C2
先にアクセス確認済み。
Answer:Accessed
Containment
Containment!
Add Artifacts
| Value | Type | Comment |
|---|---|---|
| f83fb9ce6a83da58b20685c1d7e1e546 | MD5 Hash | maze ransomware |
| 92.63.8.47 | IP Address | maze ransomware C2 |
| 10.15.15.18 | IP Address | infected |
True Positive.
End
今回のようなケースだと、ランサムウェアなので感染端末に分かりやすく影響があるために相談を受けてから調査が始まるような場合が多いように思えるが、もしかすると企業であれば個人が自身の失態を隠そうとして報告せずにアラートから調査が始まるようなケースもあるのだろうか。
