Details

EventID: 21
Event Time: Oct. 20, 2020, 9:36 p.m.
Rule: SOC104 - Malware Detected
Level: Security Analyst
Source Address 172.16.17.41
Source Hostname GeorgProd
File Name 5919600.doc
File Hash F46B0C39FCFDF4C0426C9276A2BB48C6
File Size 85.4 KB
Device Action Allowed
Download (Password:infected): f46b0c39fcfdf4c0426c9276a2bb48c6.zip

playbook

Define Threat Indicator

いつも思っているが、アラートの原因はマルウェアハッシュの検知なのだろうか。

Answer:Other

Check if the malware is quarantined/cleaned

Endpoint Securityには見つからない。Logでマルウェアの関連アクセスを確認したが、詳細は後程。

Device Action Allowed

Answer:Not Quarantined

Analyze Malware

F46B0C39FCFDF4C0426C9276A2BB48C6

VirusTotal 43/59: https://www.virustotal.com/gui/file/29c012a0db14e9411e82cb177816ae224a37c1afc3d16d2693145d6ac737fb8e
VTは真っ赤なのでMalicious. 関連するURLを調べるとemotetの配布元という情報がチラホラと。
Hybrid-Analysis: https://www.hybrid-analysis.com/sample/29c012a0db14e9411e82cb177816ae224a37c1afc3d16d2693145d6ac737fb8e/5fc27d5d92f3c867467a82ca
Hybrid-Analysisのレポートからは、WebサーバへのGETやvbaマクロが含まれるとのこと。マクロの概要はこちら、

+----------+--------------------+---------------------------------------------+
|Type      |Keyword             |Description                                  |
+----------+--------------------+---------------------------------------------+
|AutoExec  |Document_open       |Runs when the Word or Publisher document is  |
|          |                    |opened                                       |
|Suspicious|Create              |May execute file or a system command through |
|          |                    |WMI                                          |
|Suspicious|CreateObject        |May create an OLE object                     |
|Suspicious|showwindow          |May hide the application                     |
|Suspicious|Hex Strings         |Hex-encoded strings were detected, may be    |
|          |                    |used to obfuscate strings (option --decode to|
|          |                    |see all)                                     |
|Suspicious|Base64 Strings      |Base64-encoded strings were detected, may be |
|          |                    |used to obfuscate strings (option --decode to|
|          |                    |see all)                                     |
+----------+--------------------+---------------------------------------------+
# olevba -aより

マクロの中身は、
LetsDefend level 1 alert SOC101 - Phishing Mail Detected event-id 25 - 4ensiX
LetsDefend level 1 alert SOC109 - Emotet Malware Detected event-id 39 - 4ensiX
に似ていることもあって、やはりemotetである。
ANYRUN: https://app.any.run/tasks/8df53175-78cf-4d48-b80e-dd348a5bbdc0/
同じハッシュの動作を見てみると、emotetのC2と通信しており、自動起動設定等々。Emotet.

Answer:Malicious

Check If Someone Requested the C2

DATE	TYPE	SOURCE ADDRESS	SOURCE PORT	DESTINATION ADDRESS	DESTINATION PORT
Oct, 20, 2020, 09:36 PM	Proxy	172.16.17.41	12212	67.209.122.240	80

URL: http://www.drleenasreedhar.com/wordpress/x/

ANYRUNでアクセスされており、VirusTotalのレポートでも確認できるURLへのアクセスを確認した。このURLは、
URLhaus: https://urlhaus.abuse.ch/url/724279/
emotetだと、URLhausにも登録されている。
もう一つ、
|DATE |TYPE |SOURCE ADDRESS |SOURCE PORT |DESTINATION ADDRESS |DESTINATION PORT| | --- | --- |---|---|---|---| |Oct, 20, 2020, 09:36 PM| Proxy |172.16.17.41 |12322 |75.188.96.231| 80|

URL: http://75.188.96.231/neJlZRlu/3AanpZyfkiet/DyvSn/

こちらはemotet C2へのアクセスである。

Answer:Accessed

Containment

Endpoint Securityに見つからないので隔離済みですか。

Add Artifacts

Value	Type	Comment
f46b0c39fcfdf4c0426c9276a2bb48c6	MD5 Hash	emotet malware
http[:]//www.drleenasreedhar[.]com/wordpress/x/	URL Address	download malware
http[:]//75.188.96.231/neJlZRlu/3AanpZyfkiet/DyvSn/	URL Address	emotet C2