SOC109 - Emotet Malware Detected - EventID 85
Embedded Files
Emotet adalah trojan modular yang digunakan untuk mencuri data, menyebarkan malware lain (seperti ransomware), dan memberikan akses ke sistem yang terinfeksi bagi pelaku ancaman. Malware ini sering menyebar melalui email phishing dengan lampiran berbahaya, seperti dokumen Word atau Excel yang mengandung makro berbahaya.
Emotet memiliki kemampuan untuk:
Mengunduh dan menjalankan payload tambahan, termasuk trojan perbankan dan ransomware.
Menyebar dalam jaringan, mencuri kredensial, dan menggunakan exploit seperti EternalBlue.
Menghindari deteksi dengan enkripsi dan perubahan kode secara dinamis.
Berkomunikasi dengan Command & Control (C2) server untuk menerima perintah dari penyerang.
Malware ini berbahaya karena dapat bertindak sebagai "dropper" untuk ancaman lain, menjadikannya vektor utama dalam banyak serangan siber.
Langkah pertama yang saya ambil adalah memeriksa file tersebut apakah berbahaya ataukah pada platform threat intel seperti Virus Total & Hybrid Analysis.
Hasil ini menunjukkan bahwa file tersebut terdeteksi sebagai file dokumen yang berbahaya yang memiliki koneksi ke beberapa domain.
Melakukan analisis log untuk melihat aktivitas dari ip user/endpoint. Disini tidak ditemukan log yang sesuai dengan waktu terdeteksinya file tersebut.
Pada informasi host, tidak ditemukan juga aktivitas yang menunjukkan waktu yang sesuai dari host.
CREATE CASE -> CASE MANAGEMENT
Karena saya tidak menemukan akfivitas yang menunjukkan hubungan dengan file tersebut.
Karena `Device Action: Cleaned` maka malware tersebut saya tandai sudah di karantina
Dari hasil analisis malware yang dilakukan sebelumnya, file tersebut ditandai sebagai berbahaya.
Dari informasi `Log Management`, tidak ditemukan aktivitas yang berhubungan dengan sebuah ip atau alamat yang berhubungan dengan file malware.
Hasil analisis adalah file tersebut merupakan file berbahaya yang ditandai dari beberapa Platform Threat Intel dan Sandbox dalam bentuk dokumen. File tersebut berhasil di blok dan dihapus dari jaringan sebelum mencapai korban. Sehingga Close Alert ditandai sebagai `True Positive`.
Google Sites
Report abuse