Abdi Bimantara

Abdi Bimantara

Security Analyst

Write UP ­SOC — 101 Phsing Email Detected - Lets Defend

1 minute read

Published:

­SOC — 101 Phsing Email Detected is a blue team challenge available on https://app.letsdefend.io/

Our first step goes to the “Monitoring” section. focus on the soc101- Phishing Detected section.



the details of the alerts that we have to analyze



After knowing the details of the alert, enter the investigation section



click playbook to start investigation



The investigative alert stage is divided into 3 points

Detect

  • Parse email
  • Checking email, is there an attached URL in the email?


    • Analysis

  • Email Url Analysis
  • Add notes / important points
  • Delete Email if indicated phishing

    • Conclusion



    Step 1 - Detect

  • Parse Email
  • When was it sent ?
  • What is the email’s SMTP address?


    • 146.56.195.192

  • What is the sender address?

    • Lethuyan852@gmail.com

  • What is the recipient address?

    • mark@letsdefend.io

  • Cheking email, is there an attached URL in the email?


    • yes

    Step 2 - Analysis

  • Is the mail content suspicious?


    • on the attached link, I tried to analyze through several tools

    Virus Totals :


    judging by the total viral results, the links generally read clean

    Analysis Using Joe Sandbox



    The URL indicates trojan activity

    Important Points

  • Link url : http://nuangaybantiep.xyz/

  • Gmail : Lethuyan852@gmail.com

  • C2 : 146.56.195.192

    • Deleted Email

    because the email is phishing, the best advice is to delete it via mailbox

    Step 3- Conclusion

    The email contains a malicious link. The email is actually indicated as phishing. the link is involved in trojan activity

    You May Also Enjoy

    Ransomware Investigated with splunk - BOTS Case

    less than 1 minute read

    Published:

    Ransomware yang menginfeksi local environment adalah cerber ransomware. Media infeksi malware tersebut melalui removable media (Flashdisk) dengan nama MIRANDA_PRI, dan file malicious pertama kali yang diketahui adalah Miranda_Tate_unveiled.dotm. Malicious domain yang dikunjungi oleh host terinfeksi adalah solidaritedeproximite(.)org dan cerberhhyed5frqa(.)xmfir0(.)win. terdapat file .txt dan .pdf yang terindikasi terenkripsi oleh ransomware tersebut.

    Pcap Investigasi - Scaning Activity from Internal Network

    less than 1 minute read

    Published:

    Tim SOC mendapati adanya aktivitas anomaly yang terdeteksi pertanggal 7 Februari 2021. Aktivitas tersebut terindikasi sebagai aktivitas scanning yang berasal dari ip internal ke internal. Setelah dilakukan penelurusan aktivitas scanning tersebut berasal dari IP 10.251.96.4. Aktivitas Anomaly tersebut berupa port scanning, brute force url, file upload attack serta TCP reverse shell with python. Aktivitas tersebut terindikasi menggunakan tactic reconnaissance, Resource Development, serta Execution.

    Malicious APK-Buka Undangan Pernikahan

    less than 1 minute read

    Published:

    Terdapat aktivitas suspicious yang disebabkan oleh malicious apk dengan nama "Undangan Pernikahan". Malicious apk tersebut disebarkan melalui sosial media Whatsapp, sehingga memakan korban yang cukup banyak. Attacker tersebut menggunakan metode Sosial Engineering berupa pengiriman undangan pernikahan sehingga korban akan membuka apk tersebut dengan sendirinya. Attacker akan mendapatkan informasi pada device ter-Compromise melalui bot Telegram dengan nama gacorniannnbot.

    Ransomware Attack Analysis - LetsDefend Case

    less than 1 minute read

    Published:

    Berdasarkan informasi yang didapatkan oleh tim SOC, terdapat adanya aktivitas Malware yang terdeteksi pada lingkungan kerja disuatu perushaan klien. Malware tersebut termasuk jenis Ransomware yang dibuktikan dengan adanya notepad intruksi ancaman serta semua file telah terenkripsi dalam bentuk .2s6lc. Ransomware tersebut berasal dari grup Sodinokibi. Diketahui bahwa user yang menlakukan proses download file tersebut adalah “charles” dan malicious file tersebut juga disebarkan dari ip internal. Technique yang digunakan attacker adalah T1574 dengan tactics Persistence, Privilege Escalation, Defense Evasion.