LetsDefend level 1 alert SOC102 - Proxy - Suspicious URL Detected event-id 22
Details
EventID: 22
Event Time: Oct. 25, 2020, 9:26 p.m.
Rule: SOC102 - Proxy - Suspicious URL Detected
Level: Security Analyst
Source Address 172.16.17.55
Source Hostname Sofia
Destination Address 35.189.10.17
Destination Hostname stylefix.co
Username Sofia2020
Request URL http[:]//stylefix[.]co/guillotine-cross/CTRNOQ/
User Agent Mozilla/5.0 (Windows NT 5.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.90 Safari/537.36
Device Action Allowed
playbook
Search Log
| DATE | TYPE | SOURCE ADDRESS | SOURCE PORT | DESTINATION ADDRESS | DESTINATION PORT |
|---|---|---|---|---|---|
| Oct, 19, 2020, 10:17 PM | Proxy | 172.16.17.55 | 32212 | 35.189.10.17 | 80 |
URL: http://stylefix.co/guillotine-cross/CTRNOQ/
よく分からないが今回のアラートはアクセスからアラートまでラグがある。
Analyze URL Address
アクセス先ip 35.189.10.17
ip-sc: https://ip-sc.net/ja/r/35.189.10.17
ipはGOOGLE-CLOUDのもの。オーストラリアらしい。
Suspicious URL: http[:]//stylefix[.]co/guillotine-cross/CTRNOQ/
今回のSuspicious URLは、
VirusTotal 9/93: https://www.virustotal.com/gui/url/b6267682185447125d614d2ec3347c5cadbb8654b30967ded48d8fd6aeccf4c1
URLhaus: https://urlhaus.abuse.ch/url/717005/
urlscan: https://urlscan.io/result/2b23f266-0010-495b-aac6-0a65d9b266cb/#summary
VTで見ると有名どころベンダーに登録されており、レポートではemotetとの関連があるらしい。
URLhausでは、emotetやheodoのダウンロードリンクとのレポートがある。
urlscanでは、Submission Tagsにemotetがある。
URLはMaliciousである。
Answer:Malicious
Has Anyone Accessed IP/URL/Domain?
Logと,
Device Action Allowed
より、アクセスしている。
Answer:Accessed
Containment
Containment.
Add Artifacts
| Value | Type | Comment |
|---|---|---|
| http[:]//stylefix[.]co/guillotine-cross/CTRNOQ/ | URL Address | download emotet |
End
