LoginSignup
7
5

More than 3 years have passed since last update.

@odorusatoshi

もう困らない。流行りの攻撃の痕跡をsysmonとSplunkでさくっと確認。

Last updated at Posted at 2020-01-21

はじめに

  • 突然やってくる攻撃キャンペーン

  • 参照元:JPCERT/CC Eyes
    スクリーンショット 2020-01-21 19.03.59.png

  • 対岸の火事?自分たちは大丈夫なのか?

  • 攻撃の痕跡情報を手に入れたらSplunkとsysmonで調査して安全確認をしよう

sysmon活用までの流れ(おさらい)

痛みのピラミッド

スクリーンショット 2020-01-21 19.14.29.png

  • Threat Huntingのエキスパート David Biancoさんが説明するPyramid of Painを元にしてまずは、Hunting成熟度モデル level1のhash値調査からやってみます。

さあ調査(Level1)

  • Hash Values調査
  • まずはhash値のリストをlookupに登録

  • lookupファイルの編集はlookup file editorアップを使うと楽

  • SHA256、Campaign、SubmitDateあたりの情報があればまずは良いかな
    スクリーンショット 2020-01-21 19.29.02.png

  • lookup定義も忘れずに。あと権限設定もapp→globalへ。
    スクリーンショット 2020-01-21 19.31.42.png

  • inputlookupコマンドで中身確認
    スクリーンショット 2020-01-21 20.01.08.png

  • あとはマッチングするかcheck。ヒットしたらCampaignフィールドが新たに表示されるのでフィルタ条件に。

sourcetype="xmlwineventlog:microsoft-windows-sysmon/operational" 
|lookup malicioushash SHA256
|search Campaign=*
  • まずはhash値に合致するプロセスは見つからないことを確認 スクリーンショット 2020-01-21 20.05.00.png

さあ調査(Level2)

  • 既知のhash値だけでは、まだまだ安心とは言えないですね。いくらでもhash値を変えてくることは容易に想像できます。そこで1段ギアをあげて攻撃の痕跡をhuntingしてみましょう。

  • Host Artifact層の起動プログラム(プロセス)調査

  • Host Artifactとは?

  • 参照元:The Pyramid of Pain

    Host Artifacts: Observables caused by adversary activities on one or more of your hosts. Again, we focus on things that would tend to distinguish malicious activities from legitimate ones. They could be registry keys or values known to be created by specific pieces of malware, files or directories dropped in certain places or using certain names, names or descriptions or malicious services or almost anything else that's distinctive.

  • ”ファイルやディレクトリにドロップされたファイルの痕跡”などが一例になっています。

  •  tickに関連する調査対象のドロップファイルはこちら
    スクリーンショット 2020-01-21 20.09.55.png

  • JPCERTさんの記事内で大事な注釈を発見

    ※ すべてのファイルおよびフォルダは%APPDATA%\Adobe\flash[ランダムな4文字の英数字]\bin配下に作成されます。

  • なるほど。であればSPLで以下のように表現してみよう。ポイントはバックスラッシュ( \ )文字をエスケープさせるために\一つ追加してあげる必要があります。

(Image=*Adobe\\flash\\*\\bin\\*)
AND 
(app.js OR
node.exe OR 
flash.vbs OR
config\\.regeditKey.rc OR
config\\app.json OR
config\\auto.json OR
tools\\getProxy.exe OR
tools\\uninstaller.exe)

Image=*Adobe\flash\*\bin\*

  • こうすれば、注釈にあるように生成されるexeファイル等のパス(置き場)を指定して調査も可能です。

高速調査のすゝめ

  • sysmonのデータも数百台を超えて、期間も数ヶ月さかのぼって調査しようと思うとすぐにはサーチ結果が帰ってこない可能性があります。
  • そこでおすすめなのは高速化Endpointデータモデルを使う方法です。
  • Datamodelなに?という方はこちらをご参考ください
  • Endpointデータモデルの中にはProcessesというdatasetがあり、これがsysmonのプロセス作成イベントのログと対応しています。

  • ぜひCIM Appをインストールして、Endpointデータモデルだけでも有効化してみてください。

  • tstatsコマンドで調査を実施。

|tstats summariesonly=t count from datamodel=Endpoint.Processes by Processes.process_hash host
|rex field=Processes.process_hash SHA256=(?<SHA256>.*)
|fields - Processes.process_hash
  • 早く結果が出てくるはずです。 スクリーンショット 2020-01-21 20.33.47.png

みなさまのThreat Huntingの一助になることを祈ります。

7
5
4

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
7
5