4ensiX

4ensiX

FPと言ったものはFPを選んだが表示はTPになっていることに気づいた。

LetsDefend level 1 alert SOC105 - Requested T.I. URL address event-id 28

Details

EventID: 28
Event Time: Oct. 29, 2020, 7:34 p.m.
Rule: SOC105 - Requested T.I. URL address
Level: Security Analyst
Source Address 172.16.17.47
Source Hostname BillPRD
Destination Address 115.99.150.132
Username Bill
Request URL http[:]//115.99.150.132:56841/Mozi.m
User Agent Firewall Test - Dont Block
Device Action Blocked

playbook

Analyze Threat Intel Data

http[:]//115.99.150.132:56841/Mozi.m

VirusTotal: https://www.virustotal.com/gui/url/95f3eda1ff810022df76400ab1d5f2e4ac44817f116678132486fc92ec6aab46
URLhaus: https://urlhaus.abuse.ch/url/748225/
VTでは有名どころのベンダーによってMalicious判定されているためURLは怪しい。
URLhausにあるためにURLは間違いなくマルウェアに関連している。

Download file Mozi.m

Answer: Malicious

Interaction with TI data

DATE TYPE SOURCE ADDRESS SOURCE PORT DESTINATION ADDRESS DESTINATION PORT
Oct, 29, 2020, 07:34 PM Proxy 172.16.17.47 46938 115.99.150.132 56841
Request URL: http://115.99.150.132:56841/Mozi.m
Request Method: GET
Device Action: Blocked
Process: chrome.exe
Parent Process: explorer.exe
Parent Process MD5: 8b88ebbb05a0e56b7dcc708498c02b3e

アクセスはブロックされている。 Endpointには手がかりは見つからなかった。

Answer: Not Accessed

Add Artifacts

Value Type Comment
http[:]//115.99.150.132:56841/Mozi.m URL Address download malware
a73ddd6ec22462db955439f665cad4e6 MD5 Hash Mozi.m - elf malware?

End

f:id:Zarat:20220330210407p:plain
close alert event-id 28

古いアラートは面白みが無い。