DEV Community

Cover image for LetsDefend SOC104 - Malware Detected
Teoman Yalçınöz for YUSIBER

Posted on

LetsDefend SOC104 - Malware Detected

Merhabalar, bu yazımızda LetsDefend platformu üzerinde bulunan 84 numaralı event ID'ye sahip SOC104 - Malware Detected uyarısını çözmeye odaklanacağız.

Genel Bakış

Image description

Uyarıyı üstlenip case oluşturmadan hemen önce genel bir bakış atacak olursak:
Source Address -> 172.16.17.5
Source Hostname -> SusieHost
Event Time -> March 21, 2021, 1:04 p.m.
File Name -> winrar600.exe
File Hash -> c74862e16bcc2b0e02cadb7ab14e3cd6

bize verilen önemli bilgiler yukarıdakilerdir.

Analiz

Image description

verilen IP adresini ve hostnamei Endpoint Management bölümünde araştırıyoruz ve makine karşımıza çıkıyor.

Image description

Image description

browser , command ve network history bölümlerini kontrol ediyorum fakat herhangi bir bulgu elde edemeyip araştırmaya devam ediyorum.

Image description

Verilen hash değerini VirusTotal üzerinde aratıyorum fakat herhangi malicious bir geri dönütle karşılaşmıyorum.

Image description

Bize verilen zip dosyasını sanal işletim sistemime indirip kontrol etmek istiyorum.

Image description

Ardından zip dosyasının VirusTotal üzerinde aratmak için md5 değerini çıkarıyorum.

Image description

Yukarıdaki ekran görüntüsünden de görüleceği gibi herhangi malicious bir bulguyla karşılaşmıyorum ve buna güvenip dosyanın zararsız olduğunu düşünüyorum içini incelemeye geçiyorum.

Image description

winrar600 isimli bir exe dosyasıyla karşılaşıyorum. Durumunu incelemek üzere VirusTotal ve Hybrid Analysis platformlarına başvuruyorum.

Image description

Image description

Yukarıdaki ekran görüntülerinde de gözüktüğü üzere herhangi bir sorun olmadığının geri dönütünü alıyorum.

Image description

Fakat exe dosyasını any.run platformu üzerinde çalıştırdığım vakit bana malicious olduğunu geri döndürüyor bu biraz kafamı karıştırıyor.

Playbook

Artık yeteri kadar analiz yaptığımıza göre playbooku da çözüp davayı kapatabiliriz.

Image description

Image description

Bizden tehdit göstergesini tanımlamamız istenmiş other seçip devam ediyoruz.

Image description

Bize zararlının karantinaya alınıp alınmadığını veya temizlendiğini soruyor alınmadı seçip devam ediyoruz.

Image description

Bizden malwarei analiz etmemiz istenmiş biz daha önce yukarıda gerekli analizlerimizi yapmıştık non-malicious seçip devam ediyoruz.

Image description

Bulgularımızın bazılarını giriyoruz.

Image description

Image description

Image description

Analizi başarılı bir şekilde tamamlıyoruz.

Discussion (0)