1
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

Splunk Boss of the SOCについて(その7 Summary)

Last updated at Posted at 2019-09-16

Boss of the SOC (BOTS) Investigation Workshop for Splunkのbotv1を使用してScenario #1_APTを順繰りやっていく最終回。:sweat:長かった。

サイバーキルチェーンはここを参照。
初回が偵察(reconnaissance)で、第2回が攻撃(exploitation)、第3回が設置(Installation)、第4回が目的に対する行動(Actions on Objective)、前前回が遠隔操作(Command & Control)、前回が武器化(Weaponization)、今回がまとめ

APT Scenario

Summary
Based on our investigation, we can piece together what our adversary did:
調査に基づいて、敵がしたことをまとめることができます。

Scanned for vulnerabilities
Found site is running Joomla
Performed a brute force password scan, logged into Joomla, installed file upload modules
Uploaded webshell
Used webshell to upload reverse TCP shell
Connected via metasploit
Tried to move around but couldn't get out of locked down Windows 2012R2
Defaced website with downloaded defacement image
脆弱性のスキャン
見つかったサイトはJoomlaを実行しています
ブルートフォースパスワードスキャンを実行し、Joomlaにログインして、ファイルアップロードモジュールをインストールした
アップロードされたウェブシェル
Webシェルを使用してリバースTCPシェルをアップロードしました
Metasploitを介して接続
動き回ろうとしたが、ロックダウンされたWindows 2012R2から抜け出せなかった
ダウンロードした改ざん画像を含む改ざんされたWebサイト

詳細はAppsの通り。まとめに書いてあることをすべて調査したかというと調査仕切れていない。かな

ヒントがなかったら、実際のところ

IDSがあるので、まずはそこから検索

SPL
index=botsv1 sourcetype=suricata 

からスタートして、たくさん検知しているIPの概要をみて

SPL
index=botsv1   "40.80.148.42" sourcetype=fgt_utm action=pass

qiita8.png
リスト表示から時間を絞って
qiita10.png

index=botsv1   "40.80.148.42"

qiita9.png
と言う感じで、ファイルのアップロードを検知していくことになるのかな。
各ログのファイルのアップロードがどのようにでるのか、今回だとstream:httpのフィールドを覚えていないと調査が難しい。

とりあえず、Scenario #1_APTはこれにておしまい。

1
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
1
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?