LetsDefend SOC141 - Phishing URL Detected

Merhabalar, bu yazımızda LetsDefend platformu üzerinde bulunan 86 numaralı event ID'ye sahip SOC141 - Phishing URL Detected uyarısını çözmeye odaklanacağız.

Uyarı Detayları

Yukarıdaki ekran görüntüsünde platform tarafından bize verilen uyarı detayları gözükmekte. Bu detayları inceleyip araştırarak bu uyarının bir phishing olup olmadığını araştıracağız. Hemen uyarıyı üstlenerek başlıyoruz.

Uyarıyı üstümüze aldıktan sonra playbooku başlatıp kolları sıvıyoruz.

Veri Toplama

Yukarıdaki isterler uyarı detayında bize verilmişti bunlar:

Source Address — 172.16.17.49
Destination Address — 91.189.114.8
User-Agent — Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.88 Safari/537.36

Log Araştırması

Log araştırması için platform üzerinde bulunan Log Management bölümüne gidip source ve destination IP'leri topladığımız veriler ile filtreliyoruz.

Yukarıdaki ekran görüntülerinde de gözüktüğü üzere proxy tipinde olan log kayıdında bir URL'e ait yapılmış bir istek gözükmekte.
Bu URL :

http[:]//mogagrocol[.]ru/wp-content/plugins/akismet/fv/index.php?email=ellie@letsdefend.io

Not : URL malicious olabileceği için öldürülmüştür, herhangi bir yönlendirme yapmaz.

URL Analizi

Bu aşamada ise bizden çeşitli platformlar üzerinde URL'nin malicious olup olmadığını kontrol etmemiz isteniyor.

AnyRun platformu üzerinde bulduğumuz URL için istek oluşturuyorum ve yukarıdaki ekran görüntüsünde domainin wordpress üzerinde barındırıldığını ve ölü halde gözüküyor olduğunu görüyorum. Daha fazla bilgi edinmek için farklı platformlarda araştırmaya devam ediyorum.

Bu kez VirusTotal üzerinde URL'yi tarattığımda 92 farklı araştırmanın 5'inde malicious olarak tespit edildiğini görüyorum.

Son olarak URLScan üzerinde de araştırdığımda malicious olarak tespit ediliyor.

IP/URL/Etki Alanına Erişen Var mı?

Yukarıdaki sorular hakkında fikir sahibi olabilmek için Hybrid-Analysis aracı üzerinde araştırma yapıp contacted hosts bölümüne bakıyoruz.

Yukarıdaki ekran görüntülerinde bulunan IP adreslerinden URL ile iletişime geçildiğini görüyoruz ve URL'e erişim var mı sorusuna evet yanıtını verip devam ediyoruz.

EDR Sınırlaması

Bizden platform üzerinde bulunan Endpoint Management bölümüne gidip hostun makinesini de sınırlamaya dahil etmemiz istenmiş. Bu isteği yerine getiriyoruz.

Analiz notumuzu ekliyoruz ve uyarıyı kapatıyoruz.

Bu uyarıyı da analiz ettik bir sonrakilerde görüşmek üzere.