SplunkでJPCERTログ分析トレーニング（ハンズオン その４）

https://blogs.jpcert.or.jp/ja/2020/07/log_analysis_training.html
で「インシデント対応ハンズオン」でやってきたデータが公開されたのでSplunkでやってみる。

その１
その２、その３の続き

#準備
https://jpcertcc.github.io/log-analysis-training/
から
https://github.com/JPCERTCC/log-analysis-training
に飛んで、
git clone https://github.com/JPCERTCC/log-analysis-training.git

レポジトリがダウンロードできるので
zip -r Handson4 ./Handson4で固めて、そのままSplunkにファイルアップロード。設定は全部デフォルト。

その１はtar.gzで固めておいて、今回はzip。その１も後で直します。

#ホスト一覧

|ホスト名|IPアドレス|ユーザ名|OS
|:-:|:-:|:-:|:-:|:-:|
|WIN-WFBHIBE5GXZ|192.168.16.1|administrator|Windows Server 2008
|Win7_64JP_01|192.168.16.101|chiyoda.tokyo|Windows 7
|Win7_64JP_02|192.168.16.102|yokohama.kanagawa|Windows 7
|Win7_64JP_03|192.168.16.103|urayasu.chiba|Windows 7
|Win7_64JP_04|192.168.16.104|urawa.saitama|Windows 7
|Win7_64JP_05|192.168.16.105|hakata.fukuoka|Windows 7
|Win7_64JP_06|192.168.16.106|sapporo.hokkaido|Windows 7
|Win7_64JP_07|192.168.16.107|nagoya.aichi|Windows 7
|Win7_64JP_08|192.168.16.108|sakai.osaka|Windows 7
|Win10_64JP_09|192.168.16.109|maebashi.gunma|Windows 10
|Win10_64JP_10|192.168.16.110|utsunomiya.tochigi|Windows 10
|Win10_64JP_11|192.168.16.111|mito.ibaraki|Windows 10
|Win10_64JP_12|192.168.16.112|naha.okinawa|Windows 10

#その４

no4.spl

source="Handso4.zip:*"  sourcetype=access_combined_wcookie

今回はこれまでと違って、WEBアクセス。

##Win10_64JP_09に感染したマルウエアの通信先ドメイン名を特定してください。

top_domain.spl

source="Handso4.zip:*"  sourcetype=access_combined_wcookie clientip=192.168.16.109

今回はフィールドがキチンと抽出されているので、普通通り検索

左側のuri_domainをみると　bionews.infoへのアクセスがやけに多い。

bionew_info.spl

source="Handso4.zip:*"  sourcetype=access_combined_wcookie clientip=192.168.16.109 uri_domain="http://biosnews.info"

クリックして抽出してみるとuriやmethodも十分怪しくstatusも200で返っている。

virustotalの結果をみるとPaloAltoのBlogが出てくる。どこかで見たようなコマンドがある。

あとは前回のlistを見つつ検索

news-landsbbc_co.spl

source="Handso4.zip:*"  sourcetype=access_combined_wcookie clientip=192.168.16.109 "http://news-landsbbc.co/upload/21.jpg"

result

192.168.16.109 - - [07/Nov/2019:15:16:57 +0900] "GET http://news-landsbbc.co/upload/21.jpg HTTP/1.1" 200 183667 "-" "-" TCP_MEM_HIT:NONE

anews-web_co.spl

source="Handso4.zip:*"  sourcetype=access_combined_wcookie clientip=192.168.16.109 "anews-web.co"

result

192.168.16.109 - - [07/Nov/2019:15:25:44 +0900] "GET http://anews-web.co/ms14068.rar HTTP/1.1" 200 3127874 "-" "-" TCP_MISS:DIRECT
192.168.16.109 - - [07/Nov/2019:15:25:43 +0900] "GET http://anews-web.co/rar.exe HTTP/1.1" 200 405370 "-" "-" TCP_MISS:DIRECT
192.168.16.109 - - [07/Nov/2019:15:22:56 +0900] "GET http://anews-web.co/mz.exe HTTP/1.1" 200 431482 "-" "-" TCP_MISS:DIRECT

##Win10_64JP_09以外の端末で不正な通信を行っている端末はありますか？ある場合は、端末を特定してください。

anews-web_co_no_clientip.spl

source="Handso4.zip:*"  sourcetype=access_combined_wcookie "anews-web.co" OR "news-landsbbc.co" OR "biosnews.info" clientip!=192.168.16.109

192.168.16.109を除いて、検索し直すと、Win7_64JP_01のアクセスも確認できる。
その２でログがなく、詳細がわからなかったもの。

#まとめ
解説をみると、

Proxyがなくてもアクセスできる環境だった

と衝撃的なことが書いてある。

今回の調査はSplunkのフィールド抽出の威力が十分に発揮できているように思います。

実際なら、Windows-TAがあるので、問題はないはずだけど、その１やその２のSysmonのフィールド抽出しないとだめだな。