はじめに
サイバーキルチェーンを理解するためのメモです。
各ステップを理解するための例として、Splunkのユースケースをいくつか紹介します。
Cyber Kill chainとは
サイバーキルチェーンとは、ハッカーがサイバー攻撃を成功させる際にとる典型的な手順を説明したものです。すべてのサイバー攻撃が、サイバーセキュリティキルチェーンモデルの7つのステップすべてを利用するわけではありませんが、大半の攻撃はそのほとんどを使用し、特にステップ2からステップ6が行われることが多くなっています。
イメージ図
Step1: Reconnaissance(偵察)
偵察フェーズでは、悪意のあるアクターが標的を特定し、ネットワーク内でエクスプロイト可能な脆弱性と弱点を調査します。
index=weblogs source="*access.log" | stats count by clientip
潜在的な偵察のために、異常なウェブトラフィックの急増を特定する。
Step2: Weaponization(武器化)
武器化フェーズでは、攻撃者は、既知の脆弱性をエクスプロイトできるリモートアクセスマルウェア、ランサムウェア、ウイルス、ワームなどの攻撃ベクトルを作成します。
index=firewall_logs action="allowed" signature="malware"
ファイアウォールのログを監視し、マルウェアのシグネチャがある接続を許可する。
Step3: Delivery(配送)
配送ステップでは、侵入者が攻撃を開始します。利用する具体的な手順は、実行する攻撃の種類によって異なります。
index=email_logs event_type="delivery" attachment="*.exe"
実行可能な添付ファイルを持つ電子メール配信を検出する。
Step4: Exploitation(エクスプロイト)
エクスプロイトフェーズでは、悪意のあるコードが被害者のシステム内で実行されます。
index=security_logs sourcetype="windows" EventCode=4624 "Logon Type"=3
Windowsシステムで成功したネットワークログインを特定する。
Step5: Installation(インストール)
エクスプロイトフェーズの直後に、マルウェアまたはその他の攻撃ベクトルが被害者のシステムにインストールされます。脅威アクターがシステムに侵入し、コントロールを掌握することができるようになるため、ここは攻撃ライフサイクルのターニングポイントとなります。
index=endpoint_logs action="file_created" path="C:\\ProgramData\\*.exe"
実行可能ファイルの作成についてエンドポイントログを監視する。
Step6: Command and Control(コマンド&コントロール)
マンド&コントロールでは、攻撃者はマルウェアを使用して、標的ネットワーク内のデバイスまたはアイデンティティのリモートコントロールを掌握することができます。
index=network_traffic dest_ip="known_C2_server"
コマンド&コントロールサーバーへの接続を検出する。
Step7: Actions on Objectives(目的の実行)
このステージでは、攻撃者がデータの窃盗、破壊、暗号化、持ち出しなど、意図した目的を達成するための手段を講じます。
index=security_logs action="data_exfiltration"
データ流出のパターンを示すログを探す。
おわりに
サイバーキルチェーンをsplunkの調査と紐づけてみました。
※必要なフィールドとインデックスを環境に応じて変更しない限り、クエリが意味をなさないので環境に応じて変更してください。