Merhabalar, bu yazımızda LetsDefend platformu üzerinde bulunan 84 numaralı event ID'ye sahip SOC104 - Malware Detected uyarısını çözmeye odaklanacağız.
Genel Bakış
Uyarıyı üstlenip case oluşturmadan hemen önce genel bir bakış atacak olursak:
Source Address -> 172.16.17.5
Source Hostname -> SusieHost
Event Time -> March 21, 2021, 1:04 p.m.
File Name -> winrar600.exe
File Hash -> c74862e16bcc2b0e02cadb7ab14e3cd6
bize verilen önemli bilgiler yukarıdakilerdir.
Analiz
verilen IP adresini ve hostnamei Endpoint Management bölümünde araştırıyoruz ve makine karşımıza çıkıyor.
browser , command ve network history bölümlerini kontrol ediyorum fakat herhangi bir bulgu elde edemeyip araştırmaya devam ediyorum.
Verilen hash değerini VirusTotal üzerinde aratıyorum fakat herhangi malicious bir geri dönütle karşılaşmıyorum.
Bize verilen zip dosyasını sanal işletim sistemime indirip kontrol etmek istiyorum.
Ardından zip dosyasının VirusTotal üzerinde aratmak için md5 değerini çıkarıyorum.
Yukarıdaki ekran görüntüsünden de görüleceği gibi herhangi malicious bir bulguyla karşılaşmıyorum ve buna güvenip dosyanın zararsız olduğunu düşünüyorum içini incelemeye geçiyorum.
winrar600 isimli bir exe dosyasıyla karşılaşıyorum. Durumunu incelemek üzere VirusTotal ve Hybrid Analysis platformlarına başvuruyorum.
Yukarıdaki ekran görüntülerinde de gözüktüğü üzere herhangi bir sorun olmadığının geri dönütünü alıyorum.
Fakat exe dosyasını any.run platformu üzerinde çalıştırdığım vakit bana malicious olduğunu geri döndürüyor bu biraz kafamı karıştırıyor.
Playbook
Artık yeteri kadar analiz yaptığımıza göre playbooku da çözüp davayı kapatabiliriz.
Bizden tehdit göstergesini tanımlamamız istenmiş other seçip devam ediyoruz.
Bize zararlının karantinaya alınıp alınmadığını veya temizlendiğini soruyor alınmadı seçip devam ediyoruz.
Bizden malwarei analiz etmemiz istenmiş biz daha önce yukarıda gerekli analizlerimizi yapmıştık non-malicious seçip devam ediyoruz.
Bulgularımızın bazılarını giriyoruz.
Analizi başarılı bir şekilde tamamlıyoruz.
Top comments (0)