# 1. SOC140 — Phishing Mail Detected — Suspicious Task Scheduler

Hãy bắt đầu với playbook. Bước đầu tiên là chúng ta sẽ phân tích Email và thu thập thông tin về email đến. Bản thân thông báo chứa phần lớn thông tin: * Cảnh báo được kích hoạt ở mức độ nghiêm trọng trung bình vào 21 tháng 3 năm 2021 lúc 12:26 tối * Địa chỉ IP SMTP của người đã gửi thư được xem là "189.162.189.159" * Người gửi email: "" và người nhận: "" với tiêu đề: "COVID19 Vaccine" * Device Action (Hành động của device) mà hiển thị là "Allowed" thì có nghĩa là thư đã đến tay người dùng. Chúng ta hiểu rằng email có tệp đính kèm độc hại đã không được đến tay người dùng vì Devide Action là "Blocked". ĐẦU TIÊN, ta sẽ truy vấn domain “@cmail.carleton.ca” để kiểm tra người gửi có đang giả mạo hay không? (spoofing). Sử dụng tool:

Chúng ta cũng sẽ tìm kiếm Địa chỉ SMTP "189.162.189.159" từ cảnh báo trong **Virustotal:**

Đó là Ip address của của host name là "52.101.190.0" khác với IP SMTP. Ta thấy rằng địa chỉ IP SMTP khác với SMTP IP address của người gửi -> đây là hành vi giả mạo. Sau đó, từ khu vực Email Security, chúng ta tìm email liên quan và tải tệp đính kèm xuống để kiểm tra và phân tích:

Có một file zipped trong tệp đính kèm. (There is one zipped file, in the attachment) Tools chúng ta có thể sử dụng để phân tích: * Hybrid Analysis * VirusTotal * Talos Intelligence * MxToolBox * Any mail client (Outlook, Gmail, ThunderBird,...). Đối với Gmail thì xem ở phần **Show original**; còn đối với ThunderBird thì xem ở phần **Show original**,..

--- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://viettaliii.gitbook.io/home/soc-and-dfir/practices/1.-soc140-phishing-mail-detected-suspicious-task-scheduler.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.