# 3. SOC114 - Malicious Attachment Detected - Phishing Alert

<figure><img src="/files/3f6vjFTl3tc3OUUNRNm8" alt=""><figcaption></figcaption></figure>

Thông tin từ cảnh báo:

* Mức độ nghiêm trọng: High
* Thời gian đưa cảnh báo: Jan, 31, 2021, 03:48 PM
* Địa chỉ SMTP: "49.234.43.39"
* Source Address: "<accounting@cmail.carleton.ca>"
* Destination Address: "<richard@letsdefend.io>"
* Tiêu đề email: "Invoice"
* Device Action: "Allowed" (chứng tỏ mail đã được gửi thành công)

Vào kiểm tra phần Log Management:

<figure><img src="/files/2w2FAcdRl11uHFAOTvX2" alt=""><figcaption></figcaption></figure>

Và nội dung của email:

<figure><img src="/files/a4yvjOpeySSSolgVEhvv" alt=""><figcaption></figcaption></figure>

Email chứa tập tin đính kèm và được zipped.

Ta cùng check qua domain gửi xem sao "cmail.carleton.ca":

<figure><img src="/files/UhxN4hmKeYqyDK3yxafM" alt=""><figcaption></figcaption></figure>

Như bài thực hành trước ta đã thấy thì domain này ở Canada (CA):

<figure><img src="/files/ulGaKzQksqAOWq9OXD6M" alt=""><figcaption></figcaption></figure>

Tìm kiếm tên miền phụ thì ta có được mục đích của nó là về Education:

Đối với IP SMTP "49.234.43.39" thì nó lại ở Trung Quốc

<figure><img src="/files/lkRMrtgGF6h53asjvff1" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/aQ2aEtVtmZfqqqeKxpxB" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/wgRDNcq5wqS7p27A7IoG" alt=""><figcaption></figcaption></figure>

Từ đó có thể nhận định đây là a spoofed email domain.

Tiếp theo ta sẽ phân tích tập tin đính kèm. Khi giải nén ra ta nhận được file có đuôi xlsx. Kiểm tra trên Virustotal:

<figure><img src="/files/XLLKhaPWJpIOE0bBxwmP" alt=""><figcaption></figcaption></figure>

Tiếp theo là chúng ta sẽ giải quyết vấn đề sau:

<figure><img src="/files/hk625NpXLtinR8SUZhCy" alt=""><figcaption></figcaption></figure>

Để có thể trả lời câu hỏi đó, chúng ta cần kiểm tra xem tệp đính kèm đó hoạt động như thế nào sau khi được mở.&#x20;

Chúng tôi có thể thấy kết nối thành công với miền andaluciabeach\[.]net và cố gắng tải xuống tệp có tên network.exe

Những thông tin này tương quan với những gì chúng tôi có thể tìm thấy trên VT.

<figure><img src="/files/8TqcoLPYvFdeL56kdPAa" alt=""><figcaption></figcaption></figure>

Dưới đây là danh sách các tên miền và địa chỉ IP của chúng.&#x20;

Vì vậy, bây giờ chúng ta muốn kiểm tra xem có bất kỳ kết nối nào từ người dùng của chúng ta đến các tên miền và địa chỉ IP này hay không.

<figure><img src="/files/d6PXahK5PJJQ9L7ejsUj" alt=""><figcaption></figcaption></figure>

Ta tìm kiếm trên các thông tin kết nối này trong phần EDR thì ta nhận được một PC có hostname: RichardPRD:

<figure><img src="/files/RdnwzOvqGT47RD8a7pU6" alt=""><figcaption></figcaption></figure>

Lịch sử trình duyệt của máy này có truy cập tới đường dẫn tải file "network.exe"

Qua phần log ta thấy:

<figure><img src="/files/9DikkLhgJe3pTq79vsri" alt=""><figcaption></figcaption></figure>

Trong phần Lịch sử quy trình, chúng ta có thể thấy có quy trình **EQNEDT32.exe** tương tự mà chúng ta đã thấy trong phân tích AnyRun và Juicy Potato được sử dụng cho quy trình leo thang đặc quyền.

<figure><img src="/files/CYUbwldGeEO2WCVLx5eN" alt=""><figcaption></figcaption></figure>

Như vậy có thể thấy là có người dùng đã Open file đính kèm này.

Việc thêm một số IOC, điều đó cho thấy máy trạm của khách hàng Richard đã bị mối đe dọa mạng xâm nhập.

<figure><img src="/files/kQdcESA38b8ek3TKAshp" alt=""><figcaption></figcaption></figure>

Và kết quả:

<figure><img src="/files/P1xCEtVzBMx0PHPeWKGq" alt=""><figcaption></figcaption></figure>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://viettaliii.gitbook.io/home/soc-and-dfir/practices/3.-soc114-malicious-attachment-detected-phishing-alert.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.