LetsDefend platformunda Monitoring alanında bizleri 3 adet kanal karşılıyor. Bu kanallardan Main Channel, tetiklenen güvenlik alarmının ilk olarak analiste bildirildiği kanalı temsil etmektedir. Main Channel’da inceleyeceğimiz alarmın üzerindeki “Take Ownership” simgesine tıklayarak Investigation Channel’a aktardığımız alarmı inceleyeceğimizi belirtmiş olduk.
Haydi “Investigation Channell” kanalına gönderdiğimiz alarmı incelemeye başlayalım.
Alarmın detaylarında; 26 Nisan 2021 11.03 p.m. tarihinde, bill@microsoft.com mail göndericiden, ellie@letsdefend.io alıcısına bir mail gönderilmek istenildiği görüntülenmektedir. Device Action kısmında mailin içeri geçerek kullanıcıya ulaştığını görüntülüyoruz. SMTP adresinin 180.76.101.229 olduğunu da notlarımıza ekliyoruz. Microsoft tarafından gönderilmiş gibi görünen bir mail bulunmaktadır fakat gerçekten bu mailin Microsoft tarafından gönderilip gönderilmediğini kontrol etmemiz gerekecektir.
MX Toolbox aracını kullanılarak Microsoft.com’un SMTP adresinin 104.47.53.36 olduğunu elde ettik. Alarm detaylarında bulunan SMTP adres bilgisini, MX Toolbox üzerinden elde ettiğimiz adres ile karşılaştırdığımız zaman adreslerin farklı olduğunu ve mailin spooflandığını tespit ettik. Spooflanan IP adresinin reputasyon sonuçlarını araştırdığımız zaman şüpheli olduğunu görüntüledik.
IP adresi üzerinde çözünen bir domain olup olmadığını
öğrenmek için ise ipinfo.io sitesini kullandık ve herhangi bir domain
bulundurmadığını öğrendik.
Gönderilen mailin konusu, içeriği ve eklentilerini
görüntülemek üzere Letsdefend’te sol tarafta bulunan Mailbox alanını açarak
mail sender ile arama gerçekleştiriyoruz ve elde edilen sonuçta mailimizi
buluyoruz.
İçeriğine baktığımızda mail attachment olarak bd05664f01205fa90774f42468a8743a.zip
dosyasını bulunmaktadır. İlgili dosyayı indirerek incelemeye başlıyoruz.
Çeşitli sandboxlar kullanarak analizini gerçekleştireceğimiz
dosyayı ne kadar fazla sandbox ortamına aktarırsak o kadar doğru sonuçlar elde
edeceğiz.
AnyRun’da Windows 7 makineye aktardığımız attachment
dosyasının içerisinden html uzantılı bir dosya çıktı. Dosyayı açtığımızda Ellie
kullanıcısına ait mail adresinin bulunduğunu görmekteyiz. Mailin Microsoft
tarafından gönderildiğini hatırlarsak URL adresinin ve login ekranının pek de
doğru olmadığını görüyoruz. Password alanına parola girişi yaparak Sign Up
butonuna tıklayarak sayfaya göndermesini bekliyoruz.
Açılan sayfada hata aldık, aynı zamanda URL adresinin hxxps://tecyardit.com/wp-content/card/2/post.php olduğunu görüntüledik.
URL adresininin VirusTotal’de zararlı olarak değerinin
yüksek olduğunu tespit ettik. Her ne kadar şifremizden emin olsak da arka
planda parolamızın saldırgan tarafından kaydedildiğini söylemek mümkündür.
Dosyayı VirusTotal’a aktardığımızda 14/59 oranında zararlı
bilgisine ulaştık. Dosyaya ait MD5 değeri, php uzantılı URL adresini de IOC
notlarımıza ekledik.
Hybrid Analysis’e aktardığımızda dosyanın zararlı reputasyon
sonucu aşağıdaki gibidir.
Mail sender adresi Micosoft olarak görüntülenen mailin
sahte olduğu sonucuna vardık. Bu noktada, mail sender adresini IOC olarak
eklememiz doğru olmayacaktır. Şüpheli SMTP adresini de IOC notlarımıza ekledik.
LetsDefend platformuna geri dönecek olursak, artık alarmı
kapatmaya hazırız. “Start Playbook!” ile devam ediyoruz.
Alarmın çözümlenmesi için playbook’taki soruları sırasıyla
yanıtlayacak olursak;
·
April
26, 2021, 11:03 p.m.
·
104.47.53.36
·
bill@microsoft.com
·
ellie@letsdefend.io
·
Evet,
şüphelidir.
·
Evet,
içerisinde ek bulunmaktadır.
Mail içerisinde attachment bulunduğundan dolayı “Yes” seçeneğine
tıklıyoruz.
Analizlerimize göre aşağıdaki sandbox ortamlarından AnyRun,
VirusTotal ve Hybrid Analysis kullanmıştık. Dosya, zararlı olduğundan dolayı “Malicious”
ile devam ediyoruz.
Alarm notlarına baktığımızda “Device Action: Allow”
bilgisinden mailin kullanıcıya ulaştığını tespit etmiştik,“Delivered” ile
playbook ilerletmeye devam ediyoruz.
Zararlı mailin, kullanıcının mailbox içerisinde bulunmaması
için tedbir amaçlı silinmesi gerekmektedir.
Zararlı adrese erişimin olup olmadığını kontrol etmek için
Log Management üzerinden c2 adresi ile arama yapmamız gerekmektedir. Sorgu
sonucunda herhangi bir kayda ulaşılamadığından “Not Opened” seçeneğine
tıklıyoruz.
Son olarak analizlerden elde edilen zararlı IOC
bilgilerimizi artifact olarak ekliyoruz.
İncelemelerimiz bittiği için Close Alert butonuyla alarmı
kapatıyoruz. Gerekli notların girişi yapıldıktan sonra alarm Investigation
Channel’dan Closed Alerts kanalına aktarılacaktır.
IOC:
v 180.76.101.229
v hxxps://tecyardit.com/wp-content/card/2/post(.)php
v bd05664f01205fa90774f42468a8743a
İnceleme Adresleri:
https://www.virustotal.com/gui/ip-address/180.76.101.229
https://www.abuseipdb.com/check/180.76.101.229
https://app.any.run/tasks/428bcd16-d8bc-4a33-a008-f8acd7a8f93a
0 Yorumlar
Yorumunuz için teşekkür ederiz.