Details

EventID: 31
Event Time: Oct. 29, 2020, 7:55 p.m.
Rule: SOC104 - Malware Detected
Level: Security Analyst
Source Address 172.16.17.82
Source Hostname JohnComputer
File Name Purchase-Order_NO.231101.exe
File Hash cdde99520664ac313d43964620019c61
File Size 616.50 KB
Device Action Allowed
Download (Password:infected): cdde99520664ac313d43964620019c61.zip

playbook

Define Threat Indicator

Answer:Other

Check if the malware is quarantined/cleaned

Answer:Not Quarantined

Analyze Malware

cdde99520664ac313d43964620019c61

VirusTotal 59/71: https://www.virustotal.com/gui/file/40618ab352c23e61bb192f2aedd9360fed2df2a25d42491d0ab56eda5c2db558/details
Hybrid-Analysis: https://www.hybrid-analysis.com/sample/40618ab352c23e61bb192f2aedd9360fed2df2a25d42491d0ab56eda5c2db558/5f9b6efb6bd0564272401a5f
ここまで真っ赤であるならばMaliciousのハズだ。VirusTotalのレポートには、AgentTeslaの文字列が。
Agent Tesla Malware Analysis, Overview by ANY.RUN
動作を見ると、
ANYRUN: https://app.any.run/tasks/a9037684-a6b1-4402-b97b-7fbdcf94e26c/
色々なブラウザやメーラーのデータを探したり、自動起動の設定をしている。機能としてはAgentTeslaのようにも見える。

Endpoint - JohnComputer

Process History

cdde99520664ac313d43964620019c61が、しっかり実行されている。

Purchase-Order_NO.231101.exe
MD5:cdde99520664ac313d43964620019c61
Size:616.50 KB
Path:c:/Users/John/Downloads/Purchase-Order_NO.231101.exe

Logsearch

#	DATE	TYPE	SOURCE ADDRESS	SOURCE PORT	DESTINATION ADDRESS	DESTINATION PORT
Oct, 29, 2020, 08:06 PM	Firewall	172.16.17.82	49758	208.91.199.223	587

アラートが上がった後に近い時間にログに残っているアクセスは、 VirusTotalやANYRUNでマルウェアの実行時にアクセスされていた「smtp.japhethpumps[.]com」かと思っていたが、違った。
208.91.199.223 -> smtp.nmb[.]us
Reverse IP Lookup - ViewDNS.info
ただ、VirusTotal等で確認してみるとベンダーには登録されていないものの、
VirusTotal: https://www.virustotal.com/gui/ip-address/208.91.199.223/details
いくつかマルウェアと関連を示唆するようなレポートが多いIPのようだ。