DEV Community

Cover image for LetsDefend SOC143 - Password Stealer Detected
Teoman Yalçınöz for YUSIBER

Posted on

LetsDefend SOC143 - Password Stealer Detected

Merhabalar , bu yazımızda LetsDefend platformu üzerinde bulunan SOC143 - Password Stealer Detected isimli event ID'si 90 olan davayı ele alacağız. LetsDefend platformundan ve mavi takım operasyonları bakımından yararlarından daha önceki yazıda bahsetmiştik. Başlamadan hemen önce bu uyarının gerçek bir siber saldırıda kullanıldığını belirtmek istiyorum.Davayı üstlenerek başlayalım.

Image description

Genel itibariyle bakacak olursak. Olay April 26, 2021, 11:03 p.m. tarihinde gerçekleşmiş. 180.76.101.229 nolu IP adresinden bill@microsoft.com kullanıcısından ellie@letsdefend.io isimli kullanıcıya gönderilen bir mail içeriyor. Cihaz eylemi kabul edilirken, mailin içeriği ve konusu belirtilmemiş bizden araştırmamız beklenmiş. Öncelikle bilgi olarak bize sunulan IP adresini farklı platformlarda aratıp bilgi edinmeye çalışıyoruz.

Image description

Image description

Cisco Talos, AbuseIPDB vb. çeşitli platformalarda arattık. Edindiğimiz bilgilere göre IP Çin çıkışlı, Beijing merkezli bir providera ait. Şimdi ise LetsDefend platformunda bulunan mailbox bölümüne geçiş yapıyoruz ve mail hareketliliğini araştırmaya başlıyoruz.

Image description

Mailbox -> Inbox sekmesinde source olan bill@microsoft.com u veyahutta tarihi filtreleyip maili kontrol ediyoruz.

Image description

Mail içeriğini inceleyecek olursak herhangi bir metin veya başlık belirtilmeden yalnızca bir .zip dosyayıyla karşılaşıyoruz.Karşılaştığımız bu .zip dosyasını Hybrid Analysis, VirusTotal gibi platformlarda araştırıp "Zararlı herhangi bir şey içeriyor mu ?","Daha önceki kayıtlarda zararlı bir durumla karşılaşılmış mı?" gibi sorulara yanıt arıyoruz.

Image description

VirusTotal platformunda arattığımızda 91 farklı aramanın sadece 1 tanesinde şüpheli olduğuna kanaat getirildiğini görüyoruz.

Image description

Hybrid Analysis'de arattığımızda ise malicious olarak bildirilen durumlarla karşılaşıyoruz.

Image description

Bu durumları detaylı incelediğimiz vakit içinde barındırdığı dosyanın malware olarak bildirildiğini görüyoruz.Tüm bu riskleri göz önünde bulundurarak .zip dosyasını sanal makinemiz olan Kali Linux'a indirip inceliyoruz.

Image description

İndirip bize verilen infected parolasıyla birlikte dosyayı dışarı çıkarıyoruz ardından .zip dosyasından çıkan HTML dosyasını kontrol etmek üzere VirusTotal ve Hybrid Analysis'e başvuruyoruz.

Image description

Dosyayı kontrol edebilmek için md5sum yardımı ile dosyamısın MD5 ını buluyoruz.

Image description

Image description

Yukarıda görüldüğü üzere HTML dosyamız farklı platformlarda ağırlıklı olarak malicious olarak bildirilmiş.

Image description

Hybrid Analysis'de detaylı olarak incelediğimizde alınan ekran görüntülerinde bir login paneli olduğunu görüyoruz ve phishingden şüpheleniyoruz. Bu şüphelerimizi doğrulamak için bize güvenli ortam sağlayan any.run platformu üzerinde HTML dosyasını açıyoruz.

Image description

Dosyayı açtıktan sonra gerçekten de görüldüğü üzere bizi bir login ekranı karşıladı.

Image description

Login ekranında rastgele bir parola giriyoruz ve bizi tecyardit.com URL'sine yönlendirdiğini görüyoruz.

Image description

URL'yi VirusTotal'de aratmamızın ardından pek çok kez malicious ve phishin olduğuna kanaat getirildiğini görüyoruz. Login ekranından aldığı parola bilgisini ilettiği uç noktada saklayıp kişisel bilgileri çalan bir çeşit phishing saldırısı olduğunu anlıyoruz. Hatta bu seferki kurban direkt kendi adına uygulanan bir spear phishing saldırısı ile karşı karşıya. Herşeyin ardından edindiğimiz bu bilgilerin ışığında davayı sonlandırmak üzere playbooku açıyoruz.

Image description

İlk soruya dosya bir URL içerdiği için evet yanıtını veriyoruz.

Image description

İkinci soruda VirusTotal,Hybrid Analysis vb sitelerde aratıp malicious durumlarla karşılaştığımız için malicious yanıtını veriyoruz.

Image description

Mail teslim edildiği için delivered işaretliyoruz.

Image description

Elde ettiğimiz verileri girmemiz için bize verilen bölümü dolduruyoruz ve playbooku tamamlıyoruz.

Image description

Yorumumuzu yapıp davayı başarılı bir şekilde kapatıyoruz.

Image description

Discussion (0)