Boss of the SOC (BOTS) Investigation Workshop for Splunkのbotv1を使用してScenario #1_APTを順繰りやっていく最終回。
長かった。
サイバーキルチェーンはここを参照。
初回が偵察(reconnaissance)で、第2回が攻撃(exploitation)、第3回が設置(Installation)、第4回が目的に対する行動(Actions on Objective)、前前回が遠隔操作(Command & Control)、前回が武器化(Weaponization)、今回がまとめ
APT Scenario
Summary
Based on our investigation, we can piece together what our adversary did:
調査に基づいて、敵がしたことをまとめることができます。
Scanned for vulnerabilities
Found site is running Joomla
Performed a brute force password scan, logged into Joomla, installed file upload modules
Uploaded webshell
Used webshell to upload reverse TCP shell
Connected via metasploit
Tried to move around but couldn't get out of locked down Windows 2012R2
Defaced website with downloaded defacement image
脆弱性のスキャン
見つかったサイトはJoomlaを実行しています
ブルートフォースパスワードスキャンを実行し、Joomlaにログインして、ファイルアップロードモジュールをインストールした
アップロードされたウェブシェル
Webシェルを使用してリバースTCPシェルをアップロードしました
Metasploitを介して接続
動き回ろうとしたが、ロックダウンされたWindows 2012R2から抜け出せなかった
ダウンロードした改ざん画像を含む改ざんされたWebサイト
詳細はAppsの通り。まとめに書いてあることをすべて調査したかというと調査仕切れていない。かな
ヒントがなかったら、実際のところ
IDSがあるので、まずはそこから検索
index=botsv1 sourcetype=suricata
からスタートして、たくさん検知しているIPの概要をみて
index=botsv1 "40.80.148.42" sourcetype=fgt_utm action=pass
リスト表示から時間を絞って
index=botsv1 "40.80.148.42"
と言う感じで、ファイルのアップロードを検知していくことになるのかな。
各ログのファイルのアップロードがどのようにでるのか、今回だとstream:httpのフィールドを覚えていないと調査が難しい。
とりあえず、Scenario #1_APTはこれにておしまい。