LetsDefend-SOC173-Follina-0-Day-Detected

我们收到一个安全警报，指示检测到Follina（CVE-2022-30190）漏洞。恶意Word文档触发了msdt.exe执行，表明可能在JonasPRD主机上发生了远程代码执行。我们的任务是调查警报，确认利用情况，评估影响并提出修复建议。

案例详情

2022年6月2日15:22，SOC173 - Follina 0-Day Detected SIEM规则触发生成了一个安全警报。该警报与名为’JonasPRD’的端点相关，IP地址为172.16.17.39。经识别，在该主机上打开Office文档后执行了msdt.exe。警报提供了文件的详细信息，包括其哈希值，并表明防病毒软件将该操作标记为允许，意味着文件既未被阻止也未被隔离。

Follina（CVE-2022-30190）是一个Windows漏洞，滥用MSDT诊断工具：特制的Office文档可以调用ms-msdt:协议来启动msdt.exe并在机器上无需认证执行任意命令。只需打开或有时预览恶意Word文件即可触发，允许攻击者运行程序、下载额外恶意软件或窃取数据。典型迹象包括意外的msdt.exe进程、奇怪的出站连接，或在打开文档后出现新文件/服务。应修补系统、避免打开不受信任的Office文件、在可能的情况下禁用文档预览，并搜索文档哈希和msdt.exe活动以检测入侵。

VirusTotal、OTX AlienVault和MalwareBazaar

为了开始调查，我使用VirusTotal分析文件哈希。结果显示，67个供应商中有47个将该文件识别为恶意，多个报告将其与CVE-2022-30190关联。

此外，OTX给该文件分配了9.2的高风险评分，将其分类为恶意。

在MalwareBazaar上的搜索确认该文件存在于他们的恶意软件存储库中。值得注意的是，标签表明它与CVE-2022-30190、follina、maldoc和msdt.exe相关联。

通过对文件哈希使用多个来源进行分析，我可以确认它与CVE-2022-30190相关联。根据引用的威胁情报，此哈希对应于恶意文档。

日志分析

通过隔离受影响端点的IP地址，我识别了七个与事件时间范围相符的日志条目。其中六个条目显示了对标记域名"www[.]xmlformats[.]com.“的出站请求。

我还追踪了网络流量到其目标IP地址（141.105.65.149），确认了连接。

电子邮件安全

为了验证我的发现，我还检查了主机收到的电子邮件。它包含一个恶意文档，显然是作为网络钓鱼尝试的一部分制作的。我通过从端点移除它来立即采取行动减轻威胁。

端点安全

在彻底调查受影响的端点后，我决定隔离设备以防止进一步损害。在审查期间，我发现了msdt.exe进程的存在，这进一步确认了隔离的必要性，并需要升级到2级进行更深入的分析。

结论

证据显示通过CVE-2022-30190（Follina）在钓鱼邮件中传递确认了入侵。用户打开并运行了恶意Word文档。对日志和文件的分析发现与嵌入的C2 IP的连接以及在设备上执行了攻击者命令。该事件正在升级给T2 SOC分析师，端点将被隔离以遏制威胁并保护组织。

感谢阅读！