DEV Community

Cover image for LetsDefend SOC141 - Phishing URL Detected
Teoman Yalçınöz for YUSIBER

Posted on • Updated on

LetsDefend SOC141 - Phishing URL Detected

Merhabalar, bu yazımızda LetsDefend platformu üzerinde bulunan 86 numaralı event ID'ye sahip SOC141 - Phishing URL Detected uyarısını çözmeye odaklanacağız.

Uyarı Detayları

Image description

Yukarıdaki ekran görüntüsünde platform tarafından bize verilen uyarı detayları gözükmekte. Bu detayları inceleyip araştırarak bu uyarının bir phishing olup olmadığını araştıracağız. Hemen uyarıyı üstlenerek başlıyoruz.

Image description

Uyarıyı üstümüze aldıktan sonra playbooku başlatıp kolları sıvıyoruz.

Veri Toplama

Image description

Yukarıdaki isterler uyarı detayında bize verilmişti bunlar:

Source Address — 172.16.17.49
Destination Address — 91.189.114.8
User-Agent — Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.88 Safari/537.36

Enter fullscreen mode Exit fullscreen mode

Log Araştırması

Image description

Log araştırması için platform üzerinde bulunan Log Management bölümüne gidip source ve destination IP'leri topladığımız veriler ile filtreliyoruz.

Image description

Image description
Image description

Yukarıdaki ekran görüntülerinde de gözüktüğü üzere proxy tipinde olan log kayıdında bir URL'e ait yapılmış bir istek gözükmekte.
Bu URL :

http[:]//mogagrocol[.]ru/wp-content/plugins/akismet/fv/index.php?email=ellie@letsdefend.io

Enter fullscreen mode Exit fullscreen mode

Not : URL malicious olabileceği için öldürülmüştür, herhangi bir yönlendirme yapmaz.

URL Analizi

Image description

Bu aşamada ise bizden çeşitli platformlar üzerinde URL'nin malicious olup olmadığını kontrol etmemiz isteniyor.

Image description

AnyRun platformu üzerinde bulduğumuz URL için istek oluşturuyorum ve yukarıdaki ekran görüntüsünde domainin wordpress üzerinde barındırıldığını ve ölü halde gözüküyor olduğunu görüyorum. Daha fazla bilgi edinmek için farklı platformlarda araştırmaya devam ediyorum.

Image description

Bu kez VirusTotal üzerinde URL'yi tarattığımda 92 farklı araştırmanın 5'inde malicious olarak tespit edildiğini görüyorum.

Image description

Son olarak URLScan üzerinde de araştırdığımda malicious olarak tespit ediliyor.

IP/URL/Etki Alanına Erişen Var mı?

Image description

Yukarıdaki sorular hakkında fikir sahibi olabilmek için Hybrid-Analysis aracı üzerinde araştırma yapıp contacted hosts bölümüne bakıyoruz.

Image description

Image description

Image description

Yukarıdaki ekran görüntülerinde bulunan IP adreslerinden URL ile iletişime geçildiğini görüyoruz ve URL'e erişim var mı sorusuna evet yanıtını verip devam ediyoruz.

EDR Sınırlaması

Image description

Bizden platform üzerinde bulunan Endpoint Management bölümüne gidip hostun makinesini de sınırlamaya dahil etmemiz istenmiş. Bu isteği yerine getiriyoruz.

Image description

Image description

Analiz notumuzu ekliyoruz ve uyarıyı kapatıyoruz.

Image description

Image description

Bu uyarıyı da analiz ettik bir sonrakilerde görüşmek üzere.

Discussion (0)