DEV Community

Cover image for LetsDefend SOC141 - Phishing URL Detected
YUSIBER profile image Teoman Yalçınöz
Teoman Yalçınöz for YUSIBER

Posted on • Edited on

LetsDefend SOC141 - Phishing URL Detected

Merhabalar, bu yazımızda LetsDefend platformu üzerinde bulunan 86 numaralı event ID'ye sahip SOC141 - Phishing URL Detected uyarısını çözmeye odaklanacağız.

Uyarı Detayları

Image description

Yukarıdaki ekran görüntüsünde platform tarafından bize verilen uyarı detayları gözükmekte. Bu detayları inceleyip araştırarak bu uyarının bir phishing olup olmadığını araştıracağız. Hemen uyarıyı üstlenerek başlıyoruz.

Image description

Uyarıyı üstümüze aldıktan sonra playbooku başlatıp kolları sıvıyoruz.

Veri Toplama

Image description

Yukarıdaki isterler uyarı detayında bize verilmişti bunlar:

Source Address — 172.16.17.49
Destination Address — 91.189.114.8
User-Agent — Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.88 Safari/537.36
Enter fullscreen mode Exit fullscreen mode

Log Araştırması

Image description

Log araştırması için platform üzerinde bulunan Log Management bölümüne gidip source ve destination IP'leri topladığımız veriler ile filtreliyoruz.

Image description

Image description
Image description

Yukarıdaki ekran görüntülerinde de gözüktüğü üzere proxy tipinde olan log kayıdında bir URL'e ait yapılmış bir istek gözükmekte.
Bu URL :

http[:]//mogagrocol[.]ru/wp-content/plugins/akismet/fv/index.php?email=ellie@letsdefend.io
Enter fullscreen mode Exit fullscreen mode

Not : URL malicious olabileceği için öldürülmüştür, herhangi bir yönlendirme yapmaz.

URL Analizi

Image description

Bu aşamada ise bizden çeşitli platformlar üzerinde URL'nin malicious olup olmadığını kontrol etmemiz isteniyor.

Image description

AnyRun platformu üzerinde bulduğumuz URL için istek oluşturuyorum ve yukarıdaki ekran görüntüsünde domainin wordpress üzerinde barındırıldığını ve ölü halde gözüküyor olduğunu görüyorum. Daha fazla bilgi edinmek için farklı platformlarda araştırmaya devam ediyorum.

Image description

Bu kez VirusTotal üzerinde URL'yi tarattığımda 92 farklı araştırmanın 5'inde malicious olarak tespit edildiğini görüyorum.

Image description

Son olarak URLScan üzerinde de araştırdığımda malicious olarak tespit ediliyor.

IP/URL/Etki Alanına Erişen Var mı?

Image description

Yukarıdaki sorular hakkında fikir sahibi olabilmek için Hybrid-Analysis aracı üzerinde araştırma yapıp contacted hosts bölümüne bakıyoruz.

Image description

Image description

Image description

Yukarıdaki ekran görüntülerinde bulunan IP adreslerinden URL ile iletişime geçildiğini görüyoruz ve URL'e erişim var mı sorusuna evet yanıtını verip devam ediyoruz.

EDR Sınırlaması

Image description

Bizden platform üzerinde bulunan Endpoint Management bölümüne gidip hostun makinesini de sınırlamaya dahil etmemiz istenmiş. Bu isteği yerine getiriyoruz.

Image description

Image description

Analiz notumuzu ekliyoruz ve uyarıyı kapatıyoruz.

Image description

Image description

Bu uyarıyı da analiz ettik bir sonrakilerde görüşmek üzere.

Top comments (0)

Read next

getvm profile image

Free Programming Resources: Your Gateway to Coding Mastery

GetVM -

azayshrestha profile image

Understanding DNS Records

AJAY SHRESTHA -

jolayemi_funke_9565b749c1 profile image

I need a frontend mentor

Jolayemi Funke -

drhyde profile image

Unicode-Search - my first Electron app!

David Cantrell -