Boss of the SOC (BOTS) Advanced APT Hunting Companion App for Splunk
Hunting an APT with Splunk Workshop
Welcome to the Hunting an APT with Splunk Workshop based on the Boss of the SOC 2017 data set.
こちらを元に、手順を追ってみる。データセットはここ
なお、ログの時間を合わせるためユーザの時間帯を(GMT -08:00)にする必要がある。
全13回
- 概要とPowerShell Empire
- FTP Exfiltration
- DNS Exfiltration
- Adversary Infrastructure
- Spearphishing Attachment
- User Execution
- Account Persistence
- Scheduled Task
- Indicator Removal
- User Agent Strings
- OSINT Gathering
- Lateral Movement
- Data Staging
UserExec
UserExec - Hypothesis
仮説
敵は、ファイルに対してアクションを実行するようにユーザーを誘導することにより、Froth.ly内に足場を確立しようとします。
説明
攻撃者は、実行を獲得するために、ユーザーによる特定のアクションに依存する場合があります。 これは、ユーザーがSpearphishing Attachmentを介して配信された悪意のある実行可能ファイルを、ドキュメントファイルのアイコンと見かけの拡張子で開いた場合など、直接コードを実行する場合があります。 ユーザーの実行は、初期アクセスの直後に頻繁に発生しますが、侵入の別の段階、たとえば、攻撃者がファイルを共有ディレクトリまたはユーザーのデスクトップに配置して、ユーザーがクリックすることを期待する場合に発生する可能性があります。
How Might We Confirm or Refute Our Hypothesis?
Questions To Ask
- どのようなデータソース(sourcetypes)内のファイルの実行すべき?
- スピアフィッシングの添付ファイルを受信する前または後にファイルの実行を検索する必要がありますか?
- ファイルの実行が発生した場合、イベントにはどのようなサポート情報がありますか?
- ユーザーの実行を探し始めるには他にどのような指標が必要ですか?
- この場合、invoice.zipというスピアフィッシング添付ファイルが受信されたことがわかります
- どのシステムで実行されましたか?
- ファイルを実行したユーザー名は何ですか?
ファイルの実行時に何が起こりましたか?
UserExec - Suspicious Attachment?
不審と判断された添付ファイルは実行されましたか?
以前のハントで特定の添付ファイルが疑わしいと特定されました。 これまでのデータに基づいて、他のデータソースを使用して、攻撃者がユーザーに添付ファイルを開いてペイロードを実行するよう誘導したかどうかを判断できます。
Invoice.zip
Splunk内のinvoice.zipの他の場所を見てみましょう。 stream:smtpデータで見たことは既にわかっているので、それ以外のsourcetypesで参照を探しましょう。
ここで、SysmonおよびWindowsイベントでinvoice.zipが参照されていることがわかります。 ホストフィールドにピボットすると、これらのイベントはすべてwrk-btunのワークステーションから発生したことがわかります。
Windows Event Logs and Invoice.zip
Windowsイベントログとレジストリを見ると、temp_invoice.zip内からwinword.exeがinvoice.docを開始および開いていることがわかります。
Sysmon and Invoice.zip
Sysmonに注目すると、プロセス作成Windowsイベントとほぼ同時であるがWindowsレジストリイベントの前に、invoice.zipを参照する2つのイベントが表示されます。
Digging Into Sysmon
プロセス作成Sysmonイベントを見ると、winword.exeが実行され、invoice.zipから抽出されたinvoice.docが開かれていることがわかります。 これとVirusTotalヒット(Spearphishing Attachmentハントによる)の欠如に基づいて、大規模な実行が大混乱を引き起こす可能性があります。
Time Picker
タイムピッカーを使用して、8月23日20:28:55に発生した最初のSysmonイベントに時間範囲を絞り込み、この最初のSysmonイベントが発生してから数分後にアクティビティを探しましょう。
Sysmon Activity Post Winword
reverseコマンドを使用すると、発生した順序でイベントが発生することがわかります。
Sysmon Detail
Sysmonイベントのリストをスクロールすると、winword.exeの実行直後にこのイベントが表示されます。 コマンドラインを一目で見ると、エンコードされたPowerShellが表示されます。 エンコードされたPowerShellを取得しましょう。
CyberChefまたは他のbase64デコーダーを開くと、エンコードされたPowerShellを取得して出力を確認できます。 PowerShell Empireのハントを思い出すと、そのハントとフィッシングの仮説との間に関係があるようです。 ここのゆりかごは、先ほど見たものと同じように見えます。
UserExec - Findings
Were We Able To Confirm Our Hypothesis?
- invoice.zipの実行を特定のユーザーにトレースできました
- そのユーザーは、Windowsがinvoice.doc(invoice.zipから抽出された)を開いた直後にシステムで実行されているPowerShellをエンコードしていました
- PowerShell帝国の狩りで同じ揺りかごが見つかりました
What We Learned
- Billy Tunが添付ファイルinvoice.docを実行したようです
- Invoice.docは、スピアフィッシングメールで見つかったinvoice.zipから抽出されました
- ドキュメントが開かれた後にPowerShellが実行された
- ドキュメントが開かれた後に見つかったPowerShellは、実施されたPowerShell Empireの以前のハントで見つかったPowerShellと同じです
What should we operationalize?
各ハントの終わりに、私たちは何を取り、インシデント対応チームにフィードバックできるかについて考えたいと思います。 これは、ボックスを引っ張ってフォレンジックアクティビティを実行するなどの追加アクティビティであるか、インジケータを取得してSIEMまたはログ管理システムにフィードするか、発見したことに基づいて新しい分析とアラートを構築することができます。 一日の終わりには、先ほど言ったように、狩りから何かを学ぶ必要があります!
- マクロ対応ファイルの使用を禁止する
- 幸運を-ビジネスに影響を与える可能性があります
- 実行を監視する
- 実行を分析、記録、および潜在的にブロックするEDRソリューションを適用する
- PowerShellがエンコードされた状態でSysmonまたはWindowsイベントコード4688が表示されるとアラート
- すべての環境で機能するとは限りません。一部の管理者はPowerShellを(正当に)エンコードし、環境を理解します。