LetsDefend SOC143 - Password Stealer Detected Case Çözümü



    Bu yazımızda LetsDefend’de güvenlik alarmlarından biri olan SOC143 - Password Stealer Detected alarmını inceleyeceğiz. LetsDefend, analistler için oluşturulan siber güvenlik becerilerinizi Level1 ve Level2 düzeyde geliştirebileceğiniz, platformda bulunan similasyonlar sayesinde gerçek bir SOC deneyimi yaşayabileceğiniz bir eğitim platformudur.

    LetsDefend platformunda Monitoring alanında bizleri 3 adet kanal karşılıyor. Bu kanallardan Main Channel, tetiklenen güvenlik alarmının ilk olarak analiste bildirildiği kanalı temsil etmektedir. Main Channel’da inceleyeceğimiz alarmın üzerindeki “Take Ownership” simgesine tıklayarak Investigation Channel’a aktardığımız alarmı inceleyeceğimizi belirtmiş olduk.

    Haydi “Investigation Channell” kanalına gönderdiğimiz alarmı incelemeye başlayalım.


    Alarmın detaylarında; 26 Nisan 2021 11.03 p.m. tarihinde, bill@microsoft.com mail göndericiden, ellie@letsdefend.io alıcısına bir mail gönderilmek istenildiği görüntülenmektedir. Device Action kısmında mailin içeri geçerek kullanıcıya ulaştığını görüntülüyoruz. SMTP adresinin 180.76.101.229 olduğunu da notlarımıza ekliyoruz. Microsoft tarafından gönderilmiş gibi görünen bir mail bulunmaktadır fakat gerçekten bu mailin Microsoft tarafından gönderilip gönderilmediğini kontrol etmemiz gerekecektir. 

    MX Toolbox aracını kullanılarak Microsoft.com’un SMTP adresinin 104.47.53.36 olduğunu elde ettik. Alarm detaylarında bulunan SMTP adres bilgisini, MX Toolbox üzerinden elde ettiğimiz adres ile karşılaştırdığımız zaman adreslerin farklı olduğunu ve mailin spooflandığını tespit ettik. Spooflanan IP adresinin reputasyon sonuçlarını araştırdığımız zaman şüpheli olduğunu görüntüledik.

 



   IP adresi üzerinde çözünen bir domain olup olmadığını öğrenmek için ise ipinfo.io sitesini kullandık ve herhangi bir domain bulundurmadığını öğrendik.


Gönderilen mailin konusu, içeriği ve eklentilerini görüntülemek üzere Letsdefend’te sol tarafta bulunan Mailbox alanını açarak mail sender ile arama gerçekleştiriyoruz ve elde edilen sonuçta mailimizi buluyoruz.


İçeriğine baktığımızda mail attachment olarak bd05664f01205fa90774f42468a8743a.zip dosyasını bulunmaktadır. İlgili dosyayı indirerek incelemeye başlıyoruz.


    Çeşitli sandboxlar kullanarak analizini gerçekleştireceğimiz dosyayı ne kadar fazla sandbox ortamına aktarırsak o kadar doğru sonuçlar elde edeceğiz.

    AnyRun’da Windows 7 makineye aktardığımız attachment dosyasının içerisinden html uzantılı bir dosya çıktı. Dosyayı açtığımızda Ellie kullanıcısına ait mail adresinin bulunduğunu görmekteyiz. Mailin Microsoft tarafından gönderildiğini hatırlarsak URL adresinin ve login ekranının pek de doğru olmadığını görüyoruz. Password alanına parola girişi yaparak Sign Up butonuna tıklayarak sayfaya göndermesini bekliyoruz.



Açılan sayfada hata aldık, aynı zamanda URL adresinin hxxps://tecyardit.com/wp-content/card/2/post.php olduğunu görüntüledik.



URL adresininin VirusTotal’de zararlı olarak değerinin yüksek olduğunu tespit ettik. Her ne kadar şifremizden emin olsak da arka planda parolamızın saldırgan tarafından kaydedildiğini söylemek mümkündür.

 


Dosyayı VirusTotal’a aktardığımızda 14/59 oranında zararlı bilgisine ulaştık. Dosyaya ait MD5 değeri, php uzantılı URL adresini de IOC notlarımıza ekledik.



Hybrid Analysis’e aktardığımızda dosyanın zararlı reputasyon sonucu aşağıdaki gibidir.


    Mail sender adresi Micosoft olarak görüntülenen mailin sahte olduğu sonucuna vardık. Bu noktada, mail sender adresini IOC olarak eklememiz doğru olmayacaktır. Şüpheli SMTP adresini de IOC notlarımıza ekledik.

    LetsDefend platformuna geri dönecek olursak, artık alarmı kapatmaya hazırız. “Start Playbook!” ile devam ediyoruz.







Alarmın çözümlenmesi için playbook’taki soruları sırasıyla yanıtlayacak olursak;

·        April 26, 2021, 11:03 p.m.

·        104.47.53.36

·        bill@microsoft.com

·        ellie@letsdefend.io

·        Evet, şüphelidir.

·        Evet, içerisinde ek bulunmaktadır.

 


Mail içerisinde attachment bulunduğundan dolayı “Yes” seçeneğine tıklıyoruz.


Analizlerimize göre aşağıdaki sandbox ortamlarından AnyRun, VirusTotal ve Hybrid Analysis kullanmıştık. Dosya, zararlı olduğundan dolayı “Malicious” ile devam ediyoruz.


Alarm notlarına baktığımızda “Device Action: Allow” bilgisinden mailin kullanıcıya ulaştığını tespit etmiştik,“Delivered” ile playbook ilerletmeye devam ediyoruz.



Zararlı mailin, kullanıcının mailbox içerisinde bulunmaması için tedbir amaçlı silinmesi gerekmektedir.


Zararlı adrese erişimin olup olmadığını kontrol etmek için Log Management üzerinden c2 adresi ile arama yapmamız gerekmektedir. Sorgu sonucunda herhangi bir kayda ulaşılamadığından “Not Opened” seçeneğine tıklıyoruz.


Son olarak analizlerden elde edilen zararlı IOC bilgilerimizi artifact olarak ekliyoruz.


İncelemelerimiz bittiği için Close Alert butonuyla alarmı kapatıyoruz. Gerekli notların girişi yapıldıktan sonra alarm Investigation Channel’dan Closed Alerts kanalına aktarılacaktır.

 

IOC:

v  180.76.101.229

v  hxxps://tecyardit.com/wp-content/card/2/post(.)php

v  bd05664f01205fa90774f42468a8743a

 

İnceleme Adresleri:

https://www.virustotal.com/gui/ip-address/180.76.101.229

https://www.abuseipdb.com/check/180.76.101.229

https://app.any.run/tasks/428bcd16-d8bc-4a33-a008-f8acd7a8f93a

https://www.hybrid-analysis.com/sample/58c45547bccce5eb16d84bae13eb0c2813ffe03e34eae622b65468a6b289ca37

https://www.virustotal.com/gui/file/58c45547bccce5eb16d84bae13eb0c2813ffe03e34eae622b65468a6b289ca37/details




Yorum Gönder

0 Yorumlar