SplunkでJPCERTログ分析トレーニング（ハンズオン その４）

https://blogs.jpcert.or.jp/ja/2020/07/log_analysis_training.html
で「インシデント対応ハンズオン」でやってきたデータが公開されたのでSplunkでやってみる。

その１
その２、その３の続き

準備

https://jpcertcc.github.io/log-analysis-training/
から
https://github.com/JPCERTCC/log-analysis-training
に飛んで、
git clone https://github.com/JPCERTCC/log-analysis-training.git

レポジトリがダウンロードできるので
zip -r Handson4 ./Handson4で固めて、そのままSplunkにファイルアップロード。設定は全部デフォルト。

その１はtar.gzで固めておいて、今回はzip。その１も後で直します。

ホスト一覧

ホスト名	IPアドレス	ユーザ名	OS
WIN-WFBHIBE5GXZ	192.168.16.1	administrator	Windows Server 2008
Win7_64JP_01	192.168.16.101	chiyoda.tokyo	Windows 7
Win7_64JP_02	192.168.16.102	yokohama.kanagawa	Windows 7
Win7_64JP_03	192.168.16.103	urayasu.chiba	Windows 7
Win7_64JP_04	192.168.16.104	urawa.saitama	Windows 7
Win7_64JP_05	192.168.16.105	hakata.fukuoka	Windows 7
Win7_64JP_06	192.168.16.106	sapporo.hokkaido	Windows 7
Win7_64JP_07	192.168.16.107	nagoya.aichi	Windows 7
Win7_64JP_08	192.168.16.108	sakai.osaka	Windows 7
Win10_64JP_09	192.168.16.109	maebashi.gunma	Windows 10
Win10_64JP_10	192.168.16.110	utsunomiya.tochigi	Windows 10
Win10_64JP_11	192.168.16.111	mito.ibaraki	Windows 10
Win10_64JP_12	192.168.16.112	naha.okinawa	Windows 10

その４

no4.spl

source="Handso4.zip:*"  sourcetype=access_combined_wcookie

今回はこれまでと違って、WEBアクセス。

Win10_64JP_09に感染したマルウエアの通信先ドメイン名を特定してください。

top_domain.spl

source="Handso4.zip:*"  sourcetype=access_combined_wcookie clientip=192.168.16.109

今回はフィールドがキチンと抽出されているので、普通通り検索

左側のuri_domainをみると　bionews.infoへのアクセスがやけに多い。

bionew_info.spl

source="Handso4.zip:*"  sourcetype=access_combined_wcookie clientip=192.168.16.109 uri_domain="http://biosnews.info"

クリックして抽出してみるとuriやmethodも十分怪しくstatusも200で返っている。

virustotalの結果をみるとPaloAltoのBlogが出てくる。どこかで見たようなコマンドがある。

あとは前回のlistを見つつ検索

news-landsbbc_co.spl

source="Handso4.zip:*"  sourcetype=access_combined_wcookie clientip=192.168.16.109 "http://news-landsbbc.co/upload/21.jpg"

result

192.168.16.109 - - [07/Nov/2019:15:16:57 +0900] "GET http://news-landsbbc.co/upload/21.jpg HTTP/1.1" 200 183667 "-" "-" TCP_MEM_HIT:NONE

anews-web_co.spl

source="Handso4.zip:*"  sourcetype=access_combined_wcookie clientip=192.168.16.109 "anews-web.co"

result

192.168.16.109 - - [07/Nov/2019:15:25:44 +0900] "GET http://anews-web.co/ms14068.rar HTTP/1.1" 200 3127874 "-" "-" TCP_MISS:DIRECT
192.168.16.109 - - [07/Nov/2019:15:25:43 +0900] "GET http://anews-web.co/rar.exe HTTP/1.1" 200 405370 "-" "-" TCP_MISS:DIRECT
192.168.16.109 - - [07/Nov/2019:15:22:56 +0900] "GET http://anews-web.co/mz.exe HTTP/1.1" 200 431482 "-" "-" TCP_MISS:DIRECT

Win10_64JP_09以外の端末で不正な通信を行っている端末はありますか？ある場合は、端末を特定してください。

anews-web_co_no_clientip.spl

source="Handso4.zip:*"  sourcetype=access_combined_wcookie "anews-web.co" OR "news-landsbbc.co" OR "biosnews.info" clientip!=192.168.16.109

192.168.16.109を除いて、検索し直すと、Win7_64JP_01のアクセスも確認できる。
その２でログがなく、詳細がわからなかったもの。

まとめ

解説をみると、

Proxyがなくてもアクセスできる環境だった

と衝撃的なことが書いてある。

今回の調査はSplunkのフィールド抽出の威力が十分に発揮できているように思います。

実際なら、Windows-TAがあるので、問題はないはずだけど、その１やその２のSysmonのフィールド抽出しないとだめだな。