もう困らない。流行りの攻撃の痕跡をsysmonとSplunkでさくっと確認。

はじめに

• 突然やってくる攻撃キャンペーン

• 参照元：JPCERT/CC Eyes
  

• 対岸の火事？自分たちは大丈夫なのか？

• 攻撃の痕跡情報を手に入れたらSplunkとsysmonで調査して安全確認をしよう

sysmon活用までの流れ（おさらい）

• sysmonとSplunkで何が嬉しいのか？はこちら
  • 概要編
• sysmonとSplunk導入、活用編はこちら
  • 導入編
  • 活用編

痛みのピラミッド

• Threat Huntingのエキスパート David Biancoさんが説明するPyramid of Painを元にしてまずは、Hunting成熟度モデル level1のhash値調査からやってみます。

さあ調査(Level1)

• Hash Values調査

• まずはhash値のリストをlookupに登録

• lookupファイルの編集はlookup file editorアップを使うと楽

• SHA256、Campaign、SubmitDateあたりの情報があればまずは良いかな
  

• lookup定義も忘れずに。あと権限設定もapp→globalへ。
  

• inputlookupコマンドで中身確認
  

• あとはマッチングするかcheck。ヒットしたらCampaignフィールドが新たに表示されるのでフィルタ条件に。

sourcetype="xmlwineventlog:microsoft-windows-sysmon/operational" 
|lookup malicioushash SHA256
|search Campaign=*

• まずはhash値に合致するプロセスは見つからないことを確認
  

さあ調査(Level2)

• 既知のhash値だけでは、まだまだ安心とは言えないですね。いくらでもhash値を変えてくることは容易に想像できます。そこで1段ギアをあげて攻撃の痕跡をhuntingしてみましょう。

• Host Artifact層の**起動プログラム（プロセス）**調査

• Host Artifactとは？

• 参照元：The Pyramid of Pain

Host Artifacts: Observables caused by adversary activities on one or more of your hosts. Again, we focus on things that would tend to distinguish malicious activities from legitimate ones. They could be registry keys or values known to be created by specific pieces of malware, files or directories dropped in certain places or using certain names, names or descriptions or malicious services or almost anything else that's distinctive.

• ”ファイルやディレクトリにドロップされたファイルの痕跡”などが一例になっています。

• 　tickに関連する調査対象のドロップファイルはこちら
  

• JPCERTさんの記事内で大事な注釈を発見

※ すべてのファイルおよびフォルダは%APPDATA%\Adobe\flash[ランダムな4文字の英数字]\bin配下に作成されます。

• なるほど。であればSPLで以下のように表現してみよう。ポイントはバックスラッシュ( \ )文字をエスケープさせるために\一つ追加してあげる必要があります。

(Image=*Adobe\\flash\\*\\bin\\*)
AND 
(app.js OR
node.exe OR 
flash.vbs OR
config\\.regeditKey.rc OR
config\\app.json OR
config\\auto.json OR
tools\\getProxy.exe OR
tools\\uninstaller.exe)

Image=Adobe\flash\\bin\*

• こうすれば、注釈にあるように生成されるexeファイル等のパス(置き場)を指定して調査も可能です。

高速調査のすゝめ

• sysmonのデータも数百台を超えて、期間も数ヶ月さかのぼって調査しようと思うとすぐにはサーチ結果が帰ってこない可能性があります。

• そこでおすすめなのは高速化Endpointデータモデルを使う方法です。

• Datamodelなに？という方はこちらをご参考ください

  • SplunkのDatamodel Acceleration(高速化)について

• Endpointデータモデルの中にはProcessesというdatasetがあり、これがsysmonのプロセス作成イベントのログと対応しています。

• ぜひCIM Appをインストールして、Endpointデータモデルだけでも有効化してみてください。

• tstatsコマンドで調査を実施。

|tstats summariesonly=t count from datamodel=Endpoint.Processes by Processes.process_hash host
|rex field=Processes.process_hash SHA256=(?<SHA256>.*)
|fields - Processes.process_hash

• 早く結果が出てくるはずです。
  

みなさまのThreat Huntingの一助になることを祈ります。