LetsDefend level 1 alert SOC105 - Requested T.I. URL address event-id 28
Details
EventID: 28
Event Time: Oct. 29, 2020, 7:34 p.m.
Rule: SOC105 - Requested T.I. URL address
Level: Security Analyst
Source Address 172.16.17.47
Source Hostname BillPRD
Destination Address 115.99.150.132
Username Bill
Request URL http[:]//115.99.150.132:56841/Mozi.m
User Agent Firewall Test - Dont Block
Device Action Blocked
playbook
Analyze Threat Intel Data
http[:]//115.99.150.132:56841/Mozi.m
VirusTotal: https://www.virustotal.com/gui/url/95f3eda1ff810022df76400ab1d5f2e4ac44817f116678132486fc92ec6aab46
URLhaus: https://urlhaus.abuse.ch/url/748225/
VTでは有名どころのベンダーによってMalicious判定されているためURLは怪しい。
URLhausにあるためにURLは間違いなくマルウェアに関連している。
Download file Mozi.m
- b5cf68c7cb5bb2d21d60bf6654926f61566d95bfd7c9f9e182d032f1da5b4605
VirusTotal 42/61: https://www.virustotal.com/gui/file/b5cf68c7cb5bb2d21d60bf6654926f61566d95bfd7c9f9e182d032f1da5b4605/detection/f-b5cf68c
実際のファイルが取得できなかったために中身は分からないがelfファイルのようだ。VTからもMaliciousである。
Answer: Malicious
Interaction with TI data
Log search
| DATE | TYPE | SOURCE ADDRESS | SOURCE PORT | DESTINATION ADDRESS | DESTINATION PORT |
|---|---|---|---|---|---|
| Oct, 29, 2020, 07:34 PM | Proxy | 172.16.17.47 | 46938 | 115.99.150.132 | 56841 |
Request URL: http://115.99.150.132:56841/Mozi.m Request Method: GET Device Action: Blocked Process: chrome.exe Parent Process: explorer.exe Parent Process MD5: 8b88ebbb05a0e56b7dcc708498c02b3e
アクセスはブロックされている。
Endpointには手がかりは見つからなかった。
Answer: Not Accessed
Add Artifacts
| Value | Type | Comment |
|---|---|---|
| http[:]//115.99.150.132:56841/Mozi.m | URL Address | download malware |
| a73ddd6ec22462db955439f665cad4e6 | MD5 Hash | Mozi.m - elf malware? |
End
古いアラートは面白みが無い。
