Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Bids Warning Soc

    Cargado por

    aalexperez04
    5 vistas4 páginas
    Se ha generado una alerta de seguridad tras detectar dos archivos maliciosos subidos a Sharepoint. Los archivos, uno con extensión RAR y otro EXE, podrían contener malware y ponen en riesgo la seguridad. Se recomienda verificar que los usuarios afectados no hayan ejecutado los archivos maliciosos y que estos sean eliminados de Sharepoint.

    Descripción original:

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Se ha generado una alerta de seguridad tras detectar dos archivos maliciosos subidos a Sharepoint. Los archivos, uno con extensión RAR y otro EXE, podrían contener malware y ponen en riesgo la seguridad. Se recomienda verificar que los usuarios afectados no hayan ejecutado los archivos maliciosos y que estos sean eliminados de Sharepoint.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    5 vistas4 páginas

    Bids Warning Soc

    Cargado por

    aalexperez04
    Se ha generado una alerta de seguridad tras detectar dos archivos maliciosos subidos a Sharepoint. Los archivos, uno con extensión RAR y otro EXE, podrían contener malware y ponen en riesgo la seguridad. Se recomienda verificar que los usuarios afectados no hayan ejecutado los archivos maliciosos y que estos sean eliminados de Sharepoint.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 4

    Notificación amenaza de seguridad

    Notificación de alerta de seguridad


    Descripción de la alerta
    QRADAR OFFENSE 50897. CU2.9 - O365 POSIBLE MALWARE BEHAVIOUR
    Nombre de la alerta
    CONTAINING FILE MALWARE DETECTED
    Táctica Mitre T1204.002
    Prioridad Medium
    Sistema afectado SYSTEM@SHAREPOINT
    fj7kmrff.exe
    Origen de la amenaza
    Descarga 4 Portables Cs6 Español__14733_il249088.rar
    Tipo de ataque User Execution: Malicious File
    Infección contenida (Si/No) No
    Resumen ejecutivo del análisis
    Se ha generado la alerta “QRADAR OFFENSE 50897. CU2.9 - O365 POSIBLE MALWARE BEHAVIOUR CONTAINING FILE
    MALWARE DETECTED” tras detectar la subida de dos malware en el Sharepoint de IESE, en donde se detecta como
    sistema afectado a SYSTEM@SHAREPOINT. Los usuarios de IESE que han subido estos archivos son “cjsoto_iese_edu” y
    “jlagares_iese_edu” (basándonos en la carpeta del Sharepoint). Se detectan los siguientes archivos maliciosos:

    - https://iese365-my.sharepoint.com/personal/cjsoto_iese_edu/Documents/Software/GMer Antivirus Rootkit


    detector and remover/fj7kmrff.exe
    - https://iese365-my.sharepoint.com/personal/jlagares_iese_edu/Documents/Programas/Descarga 4 Portables
    Cs6 Español__14733_il249088.rar

    Acciones realizadas por el SOC


    Análisis de alerta e investigaciones pertinentes.

    Acciones en marcha Evolutio


    No se han realizado acciones adicionales.

    Acciones recomendadas para cliente

    Es muy importante que se compruebe que ninguno de los dos usuarios afectados han ejecutado los malware, y que estos
    no se encuentran aún almacenados en el Sharepoint.

    TLP:AMBER
    Notificación amenaza de seguridad

    Detalle del análisis

    • Análisis:

    Se ha generado la alerta “QRADAR OFFENSE 50897. CU2.9 - O365 POSIBLE MALWARE BEHAVIOUR CONTAINING
    FILE MALWARE DETECTED” tras detectar la subida de dos malware en el Sharepoint de IESE, en donde se detecta
    como sistema afectado a SYSTEM@SHAREPOINT. Los usuarios de IESE que han subido estos archivos son
    “cjsoto_iese_edu” y “jlagares_iese_edu” (basándonos en la carpeta del Sharepoint). Se detectan los siguientes
    archivos maliciosos:

    - https://iese365-my.sharepoint.com/personal/cjsoto_iese_edu/Documents/Software/GMer Antivirus
    Rootkit detector and remover/fj7kmrff.exe
    - https://iese365-my.sharepoint.com/personal/jlagares_iese_edu/Documents/Programas/Descarga 4
    Portables Cs6 Español__14733_il249088.rar

    No se ha podido obtener un hash de los archivos. En los eventos se registra la dirección IP de origen y destino
    51[.]116[.]158[.]62, la cual se encuentra geolocalizada en el Reino Unido y pertenece a Microsoft. La fecha de
    detección ha sido el 24 de diciembre del 2023 a las 04:06:40 PM.

    Basándonos en los nombres, se pueden sacar las siguientes conclusiones:

    - Descarga 4 Portables Cs6 Español__14733_il249088.rar: Aparentemente se trata de una descarga del


    Adobe Photoshop CS6 Portable, el cual podría ser un software pirata. Los softwares piratas son usados
    habitualmente como método de infección de equipos. Se detecta la amenaza como Win32/Mizenota.
    - GMer Antivirus Rootkit detector and remover: El software simula ser un antivirus que tiene como función
    principal eliminar Rootkits, sin embargo, es detectado como una malware por distintas fuentes en
    internet. Se detecta la amenaza como Win32/Gmer

    Sin embargo, sin el hash no es posible determinar con exactitud çsi los archivos son un malware o no. En los
    eventos no se ha detectado una acción realizada por el antivirus, por lo que la amenaza podría no estar
    contenida.

    TLP:AMBER
    Notificación amenaza de seguridad

    En el caso del malware Win32/Gmer, se ha descargado un archivo .exe de la “página oficial” de gmer, y se ha
    ejecutado en Sandbox

    El software al ser ejecutado indica que tu equipo tiene malware instalado, y que debe ser eliminado, cosa que es
    falsa ya que la sandbox any.run se encuentra sin malware al inicio de su ejecución. Si subimos el archivo
    ejecutable en Virustotal, obtenemos 35 detecciones como archivo malicioso.

    TLP:AMBER
    Notificación amenaza de seguridad

    Payloads:

    {"AppAccessContext":{"CorrelationId":"61e2faa0-502c-7000-c348-
    498cf8c155f1"},"CreationTime":"2023-12-24T13:18:20","Id":"cf9bc651-2da5-426b-29f1-
    08dc0482cc98","Operation":"FileMalwareDetected","OrganizationId":"ed0cd196-c46d-
    43d9-813e-500e8c413eda","RecordType":6,"UserKey":"S-1-0-
    0","UserType":4,"Version":1,"Workload":"OneDrive","ClientIP":"","UserId":"SHAREPOINT
    \\system","CorrelationId":"61e2faa0-502c-7000-c348-
    498cf8c155f1","EventSource":"SharePoint","ItemType":"File","ListId":"9d1abfa0-55ee-
    4e97-b9f5-f7bff18b3cf8","ListItemUniqueId":"02b3e327-da6e-506e-4258-
    55f40dadc56d","Site":"1ab3aaf2-46d4-4642-add1-
    7545f8e56c28","UserAgent":"","WebId":"a652d360-2fda-444f-93ff-
    de76d65bf771","HighPriorityMediaProcessing":false,"ListBaseType":0,"ListServerTempla
    te":0,"SourceFileExtension":"rar","VirusInfo":"Win32/Mizenota","VirusVendor":"Defaul
    t","SiteUrl":"https://iese365-
    my.sharepoint.com/personal/jlagares_iese_edu/","SourceRelativeUrl":"Documents/Progra
    mas","SourceFileName":"Descarga 4 Portables Cs6
    Español__14733_il249088.rar","ObjectId":"https://iese365-
    my.sharepoint.com/personal/jlagares_iese_edu/Documents/Programas/Descarga 4
    Portables Cs6 Español__14733_il249088.rar"}

    {"AppAccessContext":{"CorrelationId":"2ae8faa0-f038-7000-c348-
    4270ee45a129"},"CreationTime":"2023-12-24T15:03:26","Id":"06d878ae-5b60-48ca-926b-
    08dc04917b03","Operation":"FileMalwareDetected","OrganizationId":"ed0cd196-c46d-
    43d9-813e-500e8c413eda","RecordType":6,"UserKey":"S-1-0-
    0","UserType":4,"Version":1,"Workload":"OneDrive","ClientIP":"","UserId":"SHAREPOINT
    \\system","CorrelationId":"2ae8faa0-f038-7000-c348-
    4270ee45a129","EventSource":"SharePoint","ItemType":"File","ListId":"82de9b78-7571-
    47d6-b685-c7478547a3df","ListItemUniqueId":"0c345598-4807-5d16-9e69-
    16b50f97f727","Site":"3af1b463-b64b-4fbb-bbdc-
    409c67c29d89","UserAgent":"","WebId":"cc32b2c1-e6e9-4d8c-b94e-
    06c6cbc53212","HighPriorityMediaProcessing":false,"ListBaseType":0,"ListServerTempla
    te":0,"SourceFileExtension":"exe","VirusInfo":"Win32/Gmer","VirusVendor":"Default","
    SiteUrl":"https://iese365-
    my.sharepoint.com/personal/cjsoto_iese_edu/","SourceRelativeUrl":"Documents/Software
    /GMer Antivirus Rootkit detector and
    remover","SourceFileName":"fj7kmrff.exe","ObjectId":"https://iese365-
    my.sharepoint.com/personal/cjsoto_iese_edu/Documents/Software/GMer Antivirus Rootkit
    detector and remover/fj7kmrff.exe"}

    TLP:AMBER

    También podría gustarte