Qiita Teams that are logged in
You are not logged in to any team

Log in to Qiita Team
Community
OrganizationAdvent CalendarQiitadon (β)
Service
Qiita JobsQiita ZineQiita Blog
Help us understand the problem. What is going on with this article?

Splunk BOSS of the SOC ver 2について(Indicator Removal)

More than 1 year has passed since last update.

Boss of the SOC (BOTS) Advanced APT Hunting Companion App for Splunk
Hunting an APT with Splunk Workshop
Welcome to the Hunting an APT with Splunk Workshop based on the Boss of the SOC 2017 data set.

こちらを元に、手順を追ってみる。データセットはここ
なお、ログの時間を合わせるためユーザの時間帯を(GMT -08:00)にする必要がある。

全13回

  1. 概要とPowerShell Empire
  2. FTP Exfiltration
  3. DNS Exfiltration
  4. Adversary Infrastructure
  5. Spearphishing Attachment
  6. User Execution
  7. Account Persistence
  8. Scheduled Task
  9. Indicator Removal
  10. User Agent Strings
  11. OSINT Gathering
  12. Lateral Movement
  13. Data Staging

Indicator Removal

Indicator Removal - Hypothesis

仮説
監査/イベントログのクリアは、敵がトラックをカバーしようとしていることを示す可能性があります
説明
攻撃者は、隔離されたマルウェアなどの潜在的にキャプチャされたファイルを含む、ホストシステムで生成されたイベントファイルを削除または変更する可能性があります。 これにより、セキュリティソリューションの整合性が損なわれ、イベントが報告されないか、何が発生したかを判断するための十分なデータがないため、フォレンジック分析とインシデント対応が難しくなります。

How Might We Confirm or Refute Our Hypothesis?

  • イベントまたは監査ログがクリアされていることを特定するには、どのデータソース(ソースタイプ)が必要ですか?
  • イベントまたは監査ログのクリアが発生していることを識別する特定のイベントコードまたは値はありますか?
  • 誰がイベントログをクリアしていましたか?
  • イベントログをクリアするためにどのシステムが使用されましたか?
  • イベントログがクリアされたのはいつですか?
  • それらは通常、敵がその作業を完了する前または後にクリアされますか?

Indicator Removal - Windows Events

Windowsイベントと相互作用する方法

Windowsイベントログを操作するには、さまざまな方法があります。 イベントを列挙する方法と、イベントログがクリアされたかどうかを判断する方法を理解することは、誰かがトラックを隠そうとしているのかどうかを判断するために重要です。

Windows Event Logs Cleared

Googleで「windows event log clear」を検索すると、イベントコードが1102であることがわかります。

Windows Events and 1102

Windowsイベントログ内でEventCode 1102を検索すると、Kevinのワークステーションwrk-klagerfがクリアされたことがわかります。 また、service3アカウントがログをクリアしたアカウントであることがわかります。

これはおそらくこれらのイベントを探す最も簡単な方法ですが、これを行う他の方法もあります。 Windowsイベントログを収集していない場合(だれが:-)を収集していない場合、またはポリシーがイベントコード1102を記録するように設定されていない場合はどうなりますか?

これらのアプローチのいくつかに追加されたボーナスは、イベントログがクリアされる原因についてのより深い洞察を得ることができることです。

wevtutil.exe

Wevtutil.exeは、ユーザーがコマンドラインからイベントログを操作できるようにするコマンドです。 イベントのクエリを含む、実行可能な多くのことがあります。 ただし、この実行可能ファイルを使用してログを消去することもできます。 構文を確認すると、構文ボックスの下部で、提供されているログ名などの追加の値とともにcl引数を使用してログの消去が実行されることがわかります。

それを念頭に置いて、クリアされたログについてより詳細に取得できるかどうかを見てみましょう。

All wevtutil.exe Events

8月中にwevtutil.exeの参照を探して、これらのイベントを探し始めましょう。 8月22日の週にこれらのイベントのグループ化を確認できます。これは、以前の検索で見た1102イベントとある程度一致しています。

また、このexeへの参照を含むSysmonとWindowsの両方のイベントログがあることもわかります。

Windows Events and wevtutil.exe - 4688 - A New Process Has Been Created

Windowsイベントログのソースタイプをドリルダウンし、tableコマンドを使用して特定のフィールドを表形式で表示し、reverseコマンドを使用してイベントを最も古いものから最新のものに表示すると、これらのイベントはすべてEventCode 4688-Aからのものであることがわかります 新しいプロセスが作成されました。

Process_Command_Lineフィールドを見ると、それぞれでwevtutil.exeが呼び出されていることがわかります。 最初のイベントはログを列挙するel引数を使用し、その後のコマンドはすべてcl引数を使用し、それぞれが個別のログファイルを呼び出します。 このコマンドは、呼び出されたすべてのログファイルをクリアします。 485個のイベントを確認できるため、このシーケンス中に、考えられるほぼすべてのWindowsログがクリアされると言っても大丈夫です。

Sysmon and wevtutil.exe

同じ基本検索でSysmonデータを見ると、いくつかの小さな違いがあるが、同様の結果を見ることができます。最初にソースタイプSysmonを調べたとき、970個のイベントがありましたが、現在は485個しかありません。これらのイベントの大部分を構成するプロセス開始よりも面白くないため、イベント記述はプロセス終了ではないという基準を追加しました。

また、テーブルコマンドとリバースコマンドを使用して、イベント時間、ホスト名、コマンドが実行されたユーザー、実行されたコマンド、および親コマンドを最も古いものから最新のものに出力しました。

フィールドCommandLineを見ると、4688プロセスイベントで見たのと同じことがわかります。wevtutil.exeがclear log引数を使用して実行し、多数のログをヒットしています。 ParentCommandLineはPowerShellでエンコードされているように見えます。これが私たちの最初の狩りだった場合、この発見から他の狩りにピボットすることができます。この種のイベントを他のハントで見た場合、お気に入りのBase64デコーダーに少しコピーして貼り付けると、それが関連しているかどうかを簡単に確認できます。

Cyberchefによると全て同じコマンド

Indicator Removal - Findings

Were We Able To Confirm Our Hypothesis?

WindowsイベントログとSysmonイベントは、Windowsイベントがシステムから削除されていることを示しています

What We Learned

  • 管理ワークステーションwrk-klagerfでWindowsイベントログがクリアされました
  • ログをクリアしたアカウントはservice3でした
  • イベントは8月25日にクリアされました
  • Sysmonに基づいて、エンコードされたPowerShellがイベントクリアスクリプトを担当しているように見えます
    • クレードルに他のエンコードされたPowerShellアクティビティと同じ値が含まれている場合、これらの攻撃アクティビティ間のリンクを確認できます

What should we operationalize?

各ハントの終わりに、私たちは何を取り、インシデント対応チームにフィードバックできるかについて考えたいと思います。 これは、ボックスを引っ張ってフォレンジックアクティビティを実行するなどの追加アクティビティであるか、インジケータを取得してSIEMまたはログ管理システムにフィードするか、発見したことに基づいて新しい分析とアラートを構築することができます。 一日の終わりには、先ほど言ったように、狩りから何かを学ぶ必要があります!

  • Windowsイベントログの監視と警告-イベントコード1102
    • アカウントとシステムを特定し、クリアされるログに値する条件を決定します
  • Windowsイベントログの監視とアラート– Process_Command_Line = "\" C:\ Windows \ system32 \ wevtutil.exe \ "* cl *"などの追加の値を持つイベントコード4688
    • エスケープ文字を覚えてください
  • プロセス作成のイベントの説明とCommandLine = "\" C:\ Windows \ system32 \ wevtutil.exe \ "* cl *を使用して、Sysmonイベントを監視および警告します。
    • エスケープ文字を覚えてください
  • ITおよびセキュリティポリシーと連携して、削除すべきログまたは削除すべきでないログを判断し、該当する場合はルックアップを使用して除外リストを作成します

まとめ

Windowsイベントログ消去についての説明だった。これまた重要。

toshikawa
Splunkでいろいろやっています。 Splunk AnswersやQiitaでSplunkについていろいろ書いています。
https://community.splunk.com/t5/user/viewprofilepage/user-id/184221
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away