Upgrade to Pro — share decks privately, control downloads, hide ads and more …

BlueTeamer勉強会 Security Onion編 激闘!Importノード

BlueTeamer勉強会 Security Onion編 激闘!Importノード

2024/06/22(土)に開催した勉強会の資料です。

DiscoNinja

July 08, 2024
Tweet

More Decks by DiscoNinja

Other Decks in How-to & DIY

Transcript

  1. ツール カテゴリ ツール OS Oracle Linux Infrastructure Salt、Docker、Elasticsearch、Reids、Logstash、Elastic fleet、 InfluxDB

    Network & Host Data Elastic agent、Osquery、 Suricata、Zeek、Strelka Analyst Tools Alerts、Hunt Dashboards 、 Cases 、Cyberchef、Playbook Fleet、Navigator、Kibana
  2. Suricata 高性能なネットワーク IDS、IPS、およびネットワーク セキュリ ティ監視エンジンです。これはオープン ソースであり、コミュニ ティ運営の非営利財団である Open Information Security

    Foundation ( OISF ) が所有しています。Suricata は OISF に よって開発されています。 ・suricata公式ドキュメント https://docs.suricata.io/en/latest/what-is-suricata.html
  3. Suricata rule alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"HTTP

    GET Request Containing Rule in URI"; flow:established,to_server; http.method; content:"GET"; http.uri; content:"rule"; fast_pattern; classtype:bad- unknown; sid:123; rev:1;) 色 名称 概要 赤 アクション IDSはAlertのみ Alert:アラートを生成 IPSはpass,drop,rejectなど pass: パケットの検査を中止 drop:パケットを廃棄し、アラートを生成 reject:一致したパケットの送信者にRST/ICMPアンリーチエラーを送信 緑 ヘッダー ヘッダーの構成:プロトコル 送信元IP 送信元ポート 方向 宛先IP 宛先ポート 青 オプション フィルターまたは条件を指定します。
  4. Zeek Zeek Logs 概要 conn.log コネクションログ TCP・UDP・ICMPが記録されている dns.log DNSログ DNSのアクティビティが記録されている

    http.log HTTPログ HTTPのリクエストとリプライが記録されている ftp.log FTPログ FTPのアクティビティが記録されている ssl.log SSLログ SSL/TLSハンドシェイクが記録されている x509.log X509ログ X.509証明書が記録されている smtp.log smtpログ smtpのトランザクションが記録されている ssh.log sshログ ssh接続が記録されている pe.log peログ PEファイルの情報が記録されている dhcp.log DHCPログ DHCPの情報が記録されている
  5. 参考:SecurityOnionで解析する流れ 1. Suricataで検知があるか 1. ある場合は、どのアラートで検知したかを確認する 2. Zeekで確認 1. Suricataで検知がある場合は、対象のIPやプロトコルのログ を確認する

    2. ない場合、IPやプロトコルに不審なものがないを確認する 1. 実際は、他のセキュリティ機器のアラートが検知した時間 の前後や検知したIPなどから調査する
  6. 2019-01-28 - TRAFFIC ANALYSIS EXERCISE - TIMBERSHADE ▪LAN segment data:

    • LAN segment range: 172.17.8[.]0/24 (172.17.8[.]0 through 172.17.8[.]255) • Domain: timbershade[.]info • Domain controller: 172.17.8[.]2 - Timbershade-DC • LAN segment gateway: 172.17.8[.]1 • LAN segment broadcast address: 172.17.8[.]255 ▪シナリオ • 感染したWindowsホストのIPアドレスは? • 感染したWindowsホストのMACアドレスは? • 感染したWindowsホストのホスト名は? • 感染したWindowsホストのWindowsユーザーアカウント名は何か • 感染したWindowsホストに送信されたWindows実行ファイルの SHA256ファイルハッシュは? • IDSのアラートに基づいて、これはどのようなタイプの感染ですか?
  7. 2019-01-28 - TRAFFIC ANALYSIS EXERCISE - TIMBERSHADE ▪シナリオ • 感染したWindowsホストのIPアドレスは?

    • 172.17.8.109 • SuricataのアラートのDestination IPから感染した端末が分かる • DHCPログのhost.hostnameからWindowsホストと推測できる
  8. 2019-01-28 - TRAFFIC ANALYSIS EXERCISE - TIMBERSHADE ▪シナリオ • 感染したWindowsホストのMACアドレスは?

    • 14:fe:b5:d4:15:ca • DHCPログのhost.macからMACアドレスが確認できる
  9. 2019-01-28 - TRAFFIC ANALYSIS EXERCISE - TIMBERSHADE ▪シナリオ • 感染したWindowsホストのホスト名は?

    • Dunn-Windows-PC • DHCPログのhost.hostnameからホスト名が確認できる
  10. 2019-01-28 - TRAFFIC ANALYSIS EXERCISE - TIMBERSHADE ▪シナリオ • 感染したWindowsホストのWindowsユーザーアカウント名は何か

    • margaret.dunn • KerberosログのKerberos.clientからユーザーアカウント名が確認できる
  11. 2019-01-28 - TRAFFIC ANALYSIS EXERCISE - TIMBERSHADE ▪シナリオ • 感染したWindowsホストに送信されたWindows実行ファイルのSHA256ファイルハッシュは?

    • 9f6e3e65aedca997c6445329663bd1d279392a34cfda7d1b56461eb41641fa08 • SuricataのアラートでET HUNTING SUSPICIOUS Dotted Quad Host MZ Response • Source IP 91[.]121[.]30.169 Source Port 8000 • File ログから対象になっているIPのログを探す • ファイルのMD5とSHA1が分かるので、VTで検索してSHA256を確認する
  12. 2019-12-03 - TRAFFIC ANALYSIS EXERCISE - ICEMAIDEN ▪LAN segment data:

    • LAN segment range:10.18.20[.]0/24 (10.18.20[.]0 through 10.18.20[.]255) • Domain: icemaiden[.]com • Domain controller: 10.18.20[.]8 - Icemaiden-DC • LAN segment gateway:10.18.20[.]1 • LAN segment broadcast address:10.18.20[.]255 ▪シナリオ • 感染したWindowsホストのIPアドレス、MACアドレス、ホスト名は 何ですか? • 感染したWindowsホスト上の被害者のWindowsユーザーアカウン ト名は何ですか? • 被害者が感染したマルウェアの種類は? • pcapのトラフィックから、マルウェアはどこから来た可能性が高い か? • 最初の感染後、被害者はどのようなタイプのウェブページ/ウェブサ イトを訪問したように見えますか?
  13. 2019-12-03 - TRAFFIC ANALYSIS EXERCISE - ICEMAIDEN ▪シナリオ • pcapのトラフィックから、マルウェアはどこから来た可能性が高いか?

    • 感染する直前にmail.aol.comにアクセスしたため、電子メールからの可能性がある。
  14. 2019-12-03 - TRAFFIC ANALYSIS EXERCISE - ICEMAIDEN ▪シナリオ • 最初の感染後、被害者はどのようなタイプのウェブページ/ウェブサイトを訪問したように見えますか?

    • bankofamerica.comを含むドメインが複数あることから、被害者は銀行のウェブサイトにアクセスしている
  15. 2020-09-25 - TRAFFIC ANALYSIS EXERCISE - TROUBLE ALERT ▪LAN segment

    data: • LAN segment range: 10.0.0[.]0/24 (10.0.0[.]0 through 10.0.0[.]255) • Domain: pascalpig[.]com • Domain controller: 10.0.0[.]10 - Pascalpig-DC • LAN segment gateway: 10.0.0[.]1 • LAN segment broadcast address: 10.9.25[.]255 ▪シナリオ • pcap に基づいてインシデント レポートを作成してください。 Extra