SOC114-Malicious Attachment Detected-Phishing Alert
Herkese merhabalar, “SOC101-Phishing Mail Detected” isimli yazıyla başlamış olduğum Letsdefend.io alert analizlerine bu yazıyla devam edeceğiz. SOC analistlerinin alarmları nasıl analiz edip False Positive’leri ayıkladığına göz atacağız. İyi okumalar…
Bu alarmımızda bir phishing maili ve şüpheli ek nedeniyle alert oluşturulmuş.
İlk olarak SMTP adresini abuseipdb.com üzerinde araştıralım.
Çin kaynaklı olduğu gözüken SMTP adresi yaklaşık 2500 defa report edilmiş. Zararlı olma ihtimali yüksek.
İlgili maile aşağıdaki fotoğraftan bir göz atalım.
Ekte iletilen dosyayı (zip) virustotal’de taratalım.
Virustotal sonucu temiz çıktı.
MD5 hash’ini alıp google’de aratalım.
Any.run üzerinde bir tarama sonucu çıktı karşımıza.
Zararlı bir dosya olduğu bilgisi girilmiş.
Winrar üzerinde açılan dosya, önce excel.exe’yi, sonra EQNEDT32.EXE isminde bir dosyayı çalıştırıyor. Bu dosya ise bir alt process olarak Sanal DOS Makinesi ortamı olarak da bilinen ntvdm.exe dosyasını açıyor.
EQNEDT32.EXE isimli dosyanın detaylarına bakalım.
Any.run üzerinde 100/100 zararlı olarak işaretlenmiş.
Ek olarak CVE-2017–11882 (CVSS 7.8) kodlu zafiyeti sömürdüğü belirtiliyor.
İlgili zafiyeti araştırıp ne olduğuna bakıyoruz.
NIST sitesinde şu açıklamaya ulaşıyoruz:
· Microsoft Office 2007 Service Pack 3, Microsoft Office 2010 Service Pack 2, Microsoft Office 2013 Service Pack 1 ve Microsoft Office 2016, bir saldırganın bellekteki nesneleri düzgün bir şekilde işleyemeyerek geçerli kullanıcı bağlamında rasgele kod çalıştırmasına izin verir, diğer bir deyişle “ Microsoft Office Bellek Bozulması Güvenlik Açığı”.
İlgili zafiyetin ihlal göstergeleri (Indicator of Compromise) ise şu şekilde.
70.38.21.229 numaralı IP adresiyle ve andaluciabeach.net domainiyle iletişime geçen bu zararlı, site üzerinde /image/network.exe isimli dosyayı indirip çalıştırıyor.
İlgili ip adresi, abuseipdb üzerinde 38 defa report edilmiş.
İlgili excel dosyasını hybrid-analysis üzerinde inceliyoruz ve orada da zararlı olarak işaretlendiğini görüyoruz.
Virustotal üzerinde de sonuçlar aynı şekilde çıkıyor.
Bağlantı kurulan domainler, şekildeki gibi:
İlk sıradaki andaluciabeach.net gözümüze çarpıyor.
Loglarda bu domaini aradığımızda bir GET isteğiyle siteye erişildiği görülüyor.
Hedef adres kısmındaki ip adresi ise virustotal sonucunda çıkan iletişime geçen ip’ler listesindeki ip adresiyle eşleşiyor:
RichardPRD hostunun tarayıcı geçmişinde de aynı URL adresine ulaşıyoruz.
İletişim kurulan IP adresleri içinde de virustotal’da çıkan IP adresine rastlıyoruz.
EQNEDT32.EXE isimli dosya da processes başlığı altında görülüyor. Yani C2 adresiyle iletişim kuruldu.
Tüm bulguları topladığımıza göre playbook’u başlatıp vakayı sonlandıralım.
Mailde dosya eki olduğu için soruya “yes” diyoruz.
İlgili ek, zararlı aktivitelere yol açan bir excel dosyası olduğu için “malicious” olarak işaretliyoruz.
Device-Action kısmı allowed olduğu için, ilgili mail kullanıcıya ulaştı. Bunu, kullanıcının process’lerinde bulunan zararlı dosyanın çalışmasından ve tarayıcı geçmişindeki zararlı URL’den de anlayabiliriz.
Mail ulaştığı için, soruya “delivered” cevabını veriyoruz.
İlgili maili silmemiz isteniyor ve email security kısmından bulup siliyoruz.
Tarayıcı geçmişinde zararlı URL olduğu için soruya “opened” yanıtını veriyoruz.
İlgili hostu karantinaya almamız söyleniyor ve endpoint security üzerinden karantinaya alıyoruz.
Bulgularımızı ekliyoruz.
Notlarımızı ekleyelim.
Alarmı True Positive olarak işaretliyoruz.
Sonuçlar:
Alarmı başarıyla analiz ettik, ilerleyen günlerde yeni alarmlar inceleyeceğiz. Umarım faydalı olmuştur, görüşmek üzere… :)
