4ensiX

4ensiX

FPと言ったものはFPを選んだが表示はTPになっていることに気づいた。

LetsDefend level 1 alert SOC102 - Proxy - Suspicious URL Detected event-id 32

LetsDefend

Details

EventID: 32
Event Time: Dec. 1, 2020, 5:50 a.m.
Rule: SOC102 - Proxy - Suspicious URL Detected
Level: Security Analyst
Source Address 172.148.17.14
Source Hostname MikeComputer
Destination Address 172.217.17.174
Destination Hostname encrypted-tbn0.gstatic.com
Username Mike01
Request URL https[:]//encrypted-tbn0.gstatic[.]com/images?q=tbn:ANd9GcSjESkzn2LUxELhnqZZWBbmGwtbqfFsaemB9w&usqp=CAU
User Agent Mozilla/5.0 (iPhone; CPU iPhone OS 13_4_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.1 Mobile/15E148 Safari/604.1
Device Action Blocked

playbook

Search Log

# DATE TYPE SOURCE ADDRESS SOURCE PORT DESTINATION ADDRESS DESTINATION PORT
Dec, 01, 2020, 05:58 AM Proxy 172.148.17.14 48193 172.217.17.174 443 
Request URL: https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcSjESkzn2LUxELhnqZZWBbmGwtbqfFsaemB9w&usqp=CAU
Request Method: GET
Device Action: Blocked
Process: chrome.exe
Parent Process: explorer.exe
Parent Process MD5: 8b88ebbb05a0e56b7dcc708498c02b3e

同サーバのアクセスは、アラート時のもののみを確認された。
Endpointを見ると、気になるdocファイルの実行が見られたが今回のものとは関係無さそうなので一旦置いておく。
このサーバへのアクセスはアラート時のもののみ。

Analyze URL Address

https[:]//encrypted-tbn0.gstatic[.]com/images?q=tbn:ANd9GcSjESkzn2LUxELhnqZZWBbmGwtbqfFsaemB9w&usqp=CAU

Hybrid-Analysis: https://www.hybrid-analysis.com/sample/aa243e9bc80b1d466a8d3e9f1d2a285b8445f47bb173835ad1066aa8ebf63675/61e30b6bb545d72fa270b2c3
実際にアクセスしてみると、何かの画像であった。

f:id:Zarat:20220305215214p:plain
suspicious URL?

そもそも、gstatic[.]comとは
gstatic.comは何に使用されますか?あなたが知る必要があるすべて! - JA Atsit
What is gstatic.com used for? All you need to know!
公式の文言が見つからなかったが、Googleの画像キャッシュサーバのようだ。無知でした。
そうであるならば、今回のURLは問題ないと言えるのではないだろうか。
一応、ドメインやIPも。

encrypted-tbn0.gstatic[.]com

VirusTotal: https://www.virustotal.com/gui/domain/encrypted-tbn0.gstatic.com/community
いくらかコメントがあるが、時と場合によっては怪しい画像へリンクされたためだろうか。

172.217.17.174

VirusTotal: https://www.virustotal.com/gui/ip-address/172.217.17.174/community
googleであると。


以上から
Answer:Non-malicious

Add Artifacts

Value Type Comment
https[:]//encrypted-tbn0.gstatic[.]com/images?q=tbn:ANd9GcSjESkzn2LUxELhnqZZWBbmGwtbqfFsaemB9w&usqp=CAU URL Address Google's image cache
172.217.17.174 IP Address Google's image cache server

False Positive.

End

f:id:Zarat:20220306040145p:plain
close alert 32

今回は誤検知であったという結果になったが、そもそも誤検知となった理由があるはずである。それは、単純にルールのミスなのか過去にencrypted-tbn0.gstatic.comへのアクセスが悪用されたのか分からないが、この理由をはっきりさせなければ今後の検知精度向上には繋がらない。