SplunkでJPCERTログ分析トレーニング(ハンズオン その4)
https://blogs.jpcert.or.jp/ja/2020/07/log_analysis_training.html
で「インシデント対応ハンズオン」でやってきたデータが公開されたのでSplunkでやってみる。
準備
https://jpcertcc.github.io/log-analysis-training/
から
https://github.com/JPCERTCC/log-analysis-training
に飛んで、
git clone https://github.com/JPCERTCC/log-analysis-training.git
レポジトリがダウンロードできるので
zip -r Handson4 ./Handson4で固めて、そのままSplunkにファイルアップロード。設定は全部デフォルト。
その1はtar.gzで固めておいて、今回はzip。その1も後で直します。
ホスト一覧
| ホスト名 | IPアドレス | ユーザ名 | OS |
|---|---|---|---|
| WIN-WFBHIBE5GXZ | 192.168.16.1 | administrator | Windows Server 2008 |
| Win7_64JP_01 | 192.168.16.101 | chiyoda.tokyo | Windows 7 |
| Win7_64JP_02 | 192.168.16.102 | yokohama.kanagawa | Windows 7 |
| Win7_64JP_03 | 192.168.16.103 | urayasu.chiba | Windows 7 |
| Win7_64JP_04 | 192.168.16.104 | urawa.saitama | Windows 7 |
| Win7_64JP_05 | 192.168.16.105 | hakata.fukuoka | Windows 7 |
| Win7_64JP_06 | 192.168.16.106 | sapporo.hokkaido | Windows 7 |
| Win7_64JP_07 | 192.168.16.107 | nagoya.aichi | Windows 7 |
| Win7_64JP_08 | 192.168.16.108 | sakai.osaka | Windows 7 |
| Win10_64JP_09 | 192.168.16.109 | maebashi.gunma | Windows 10 |
| Win10_64JP_10 | 192.168.16.110 | utsunomiya.tochigi | Windows 10 |
| Win10_64JP_11 | 192.168.16.111 | mito.ibaraki | Windows 10 |
| Win10_64JP_12 | 192.168.16.112 | naha.okinawa | Windows 10 |
その4
no4.spl
source="Handso4.zip:*" sourcetype=access_combined_wcookie
source="Handso4.zip:*" sourcetype=access_combined_wcookie
今回はこれまでと違って、WEBアクセス。
Win10_64JP_09に感染したマルウエアの通信先ドメイン名を特定してください。
source="Handso4.zip:*" sourcetype=access_combined_wcookie clientip=192.168.16.109
今回はフィールドがキチンと抽出されているので、普通通り検索
左側のuri_domainをみると bionews.infoへのアクセスがやけに多い。
source="Handso4.zip:*" sourcetype=access_combined_wcookie clientip=192.168.16.109 uri_domain="http://biosnews.info"
クリックして抽出してみるとuriやmethodも十分怪しくstatusも200で返っている。
virustotalの結果をみるとPaloAltoのBlogが出てくる。どこかで見たようなコマンドがある。
source="Handso4.zip:*" sourcetype=access_combined_wcookie clientip=192.168.16.109 "http://news-landsbbc.co/upload/21.jpg"
192.168.16.109 - - [07/Nov/2019:15:16:57 +0900] "GET http://news-landsbbc.co/upload/21.jpg HTTP/1.1" 200 183667 "-" "-" TCP_MEM_HIT:NONE
source="Handso4.zip:*" sourcetype=access_combined_wcookie clientip=192.168.16.109 "anews-web.co"
192.168.16.109 - - [07/Nov/2019:15:25:44 +0900] "GET http://anews-web.co/ms14068.rar HTTP/1.1" 200 3127874 "-" "-" TCP_MISS:DIRECT
192.168.16.109 - - [07/Nov/2019:15:25:43 +0900] "GET http://anews-web.co/rar.exe HTTP/1.1" 200 405370 "-" "-" TCP_MISS:DIRECT
192.168.16.109 - - [07/Nov/2019:15:22:56 +0900] "GET http://anews-web.co/mz.exe HTTP/1.1" 200 431482 "-" "-" TCP_MISS:DIRECT
Win10_64JP_09以外の端末で不正な通信を行っている端末はありますか?ある場合は、端末を特定してください。
source="Handso4.zip:*" sourcetype=access_combined_wcookie "anews-web.co" OR "news-landsbbc.co" OR "biosnews.info" clientip!=192.168.16.109
192.168.16.109を除いて、検索し直すと、Win7_64JP_01のアクセスも確認できる。
その2でログがなく、詳細がわからなかったもの。
まとめ
解説をみると、
Proxyがなくてもアクセスできる環境だった
と衝撃的なことが書いてある。
今回の調査はSplunkのフィールド抽出の威力が十分に発揮できているように思います。
実際なら、Windows-TAがあるので、問題はないはずだけど、その1やその2のSysmonのフィールド抽出しないとだめだな。
Author And Source
この問題について(SplunkでJPCERTログ分析トレーニング(ハンズオン その4)), 我々は、より多くの情報をここで見つけました https://qiita.com/toshikawa/items/d5abe89e01167a31e216著者帰属:元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。
Content is automatically searched and collected through network algorithms . If there is a violation . Please contact us . We will adjust (correct author information ,or delete content ) as soon as possible .