Boss of the SOC (BOTS) Investigation Workshop for Splunkのbotv1を使用してScenario #1_APTを順繰りやっていく5回目。
長いな
サイバーキルチェーンはここを参照。
初回が偵察(reconnaissance)で、第2回が攻撃(exploitation)、前前回が設置(Installation)、前回が目的に対する行動(Actions on Objective)、今回が遠隔操作(Command & Control)
Identifying the Fully Qualified Domain Name of the System that Defaced the Web Server(Webサーバーを改ざんしたシステムの完全修飾ドメイン名の特定)
This attack used dynamic DNS to resolve to the malicious IP. What fully qualified domain name (FQDN) is associated with this attack?
この攻撃では、動的DNSを使用して悪意のあるIPに解決しました。 この攻撃に関連付けられている完全修飾ドメイン名(FQDN)は何ですか?
If you know the name of the file that defaced the site, this question becomes very easy to answer because the information can be found in that same log. If we don't know the defacement file name and we needed to figure out the domain name first, then there is a bit more work to do. We will cover both!
サイトを改ざんしたファイルの名前を知っている場合、同じログで情報を見つけることができるため、この質問への回答は非常に簡単になります。 改ざんファイル名がわからず、最初にドメイン名を把握する必要がある場合は、もう少し作業が必要です。 両方をカバーします!
Finding the sourcetypes that saw this file
CIMいれるとうまくいくのかな。自分のだとsrc一つとっても_srcip_だったり_src_ip_だったりするのでうまく動かない。
index=botsv1 "23.22.63.114" "poisonivy-is-coming-for-you-batman.jpeg" "192.168.250.70"
| top sourcetype
Drilling down into stream:http to see URL
index=botsv1 dest_ip=23.22.63.114 "poisonivy-is-coming-for-you-batman.jpeg" src_ip=192.168.250.70 sourcetype=stream:http
| table _time site request
一発ですな。
What if I Don’t Have the File Name?
index=botsv1 host_addr{}=23.22.63.114 sourcetype=stream:dns
googleでDNSを引いたらしい。同じ結果が出ている。
_stream:dns_いいな。_bind_のログだとここまででないし。
Command & Controlはここでおしまい。キリがいいのでここまでとします。