BlueTeamer勉強会 Security Onion編 激闘！Importノード

Transcript

1. 勉強会 非公式日本ユーザー

2. アジェンダ 1.はじめに 1.SecurityOnionとは 2.アーキテクチャ 3.ツール 4.Suricata 5.Zeek 6.SecurityOnionConsole 7.Kibana 8.Pcapのインポート

   9.例題 10.演習

3. はじめに

4. 本勉強について 目的 Blue Teamの人達向けの勉強会で す。ツールの紹介やハンズオンな どを行っていく予定です。 今後 Calderaなどの攻撃エミュレーシ ョンツールやMISPなどの紹介を 予定しています。

5. SecurityOnionとは

6. SecurityOnionとは • ネットワークとエンドポイントのモニタリング、インシデントレスポンスを 目的としたブルーチーム用のLinuxディストリビューションです。 • 2008年の初回リリースから15年の歴史があります。

7. アーキテクチャ

8. アーキテクチャ SecurityOnionには、複数のデプロイ方法があります。 • Import ⚬ 用途：フォレンジック解析 • Evaluation ⚬ 用途：テスト環境

   • Standalone ⚬ 用途：本番環境（一体型） • Distributed ⚬ 用途：本番環境（分散型）

9. Import PcapやWindowsイベントログをインポートするためのタイプです。 主にフォレンジック解析などに使用します。

10. Evaluation/Standalone Importとは違い、モニタリング用のネットワークインターフェー スがあり、専用のインターフェースからトラフィックを監視します 。また、ログはElastic Agentから収集してエンドポイントを監視 します。

11. Distributed トラフィックを収集するForwardノード、SecurityOnionの設定 管理やElasticの検索、分析するManagerノード、ログが集められ るSearchノードと複数のコンポーネントに分かれています。

12. ツール

13. ツール カテゴリ ツール OS Oracle Linux Infrastructure Salt、Docker、Elasticsearch、Reids、Logstash、Elastic fleet、 InfluxDB

    Network & Host Data Elastic agent、Osquery、 Suricata、Zeek、Strelka Analyst Tools Alerts、Hunt Dashboards 、 Cases 、Cyberchef、Playbook Fleet、Navigator、Kibana

14. Suricata

15. Suricata 高性能なネットワーク IDS、IPS、およびネットワーク セキュリ ティ監視エンジンです。これはオープン ソースであり、コミュニ ティ運営の非営利財団である Open Information Security

    Foundation ( OISF ) が所有しています。Suricata は OISF に よって開発されています。 ・suricata公式ドキュメント https://docs.suricata.io/en/latest/what-is-suricata.html

16. Suricata rule alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"HTTP

    GET Request Containing Rule in URI"; flow:established,to_server; http.method; content:"GET"; http.uri; content:"rule"; fast_pattern; classtype:bad- unknown; sid:123; rev:1;) 色 名称 概要 赤 アクション IDSはAlertのみ Alert：アラートを生成 IPSはpass,drop,rejectなど pass： パケットの検査を中止 drop：パケットを廃棄し、アラートを生成 reject：一致したパケットの送信者にRST/ICMPアンリーチエラーを送信 緑 ヘッダー ヘッダーの構成：プロトコル 送信元IP 送信元ポート 方向 宛先IP 宛先ポート 青 オプション フィルターまたは条件を指定します。

17. Zeek

18. Zeek Zeekはパッシブなオープンソースのネットワーク・トラフィッ ク・アナライザです。多くのオペレータは、Zeekをネットワー ク・セキュリティ・モニタ（NSM）として使用し、疑わしい活動 や悪意のある活動の調査をサポートしています。Zeek はまた、パ フォーマンス測定やトラブルシューティングなど、セキュリティ領 域を超えた幅広いトラフィック解析タスクもサポートしています。 ・Zeek公式ドキュメント https://docs.zeek.org/en/master/about.html

19. Zeek • ログは以下のディレクトリに保存されています。 • /nsm/zeek/logs • 出力されたログはElastic Agent経由でElasticsearchに送られ ます。

20. Zeek Zeek Logs 概要 conn.log コネクションログ TCP・UDP・ICMPが記録されている dns.log DNSログ DNSのアクティビティが記録されている

    http.log HTTPログ HTTPのリクエストとリプライが記録されている ftp.log FTPログ FTPのアクティビティが記録されている ssl.log SSLログ SSL/TLSハンドシェイクが記録されている x509.log X509ログ X.509証明書が記録されている smtp.log smtpログ smtpのトランザクションが記録されている ssh.log sshログ ssh接続が記録されている pe.log peログ PEファイルの情報が記録されている dhcp.log DHCPログ DHCPの情報が記録されている

21. SecurityOnionConsole

22. SecurityOnionConsole Security Onion Consoleは、SecurityOnionのWebダッシュボードです。 ケース管理、 検索のダッシュボード、アラート、Pcapなどの機能があります。

23. Alert SecurityOnionが生成するアラートが一覧で表示されます。アラートの詳細を確認した り、HuntやPcapなどの機能にピポットしたり、アラートからケースを作成することも できます。

24. Dashboards Kibanaのように、データを分析できるダッシュボードです。エンドポイントなどデフォ ルトでいくつか用意されています。

25. Hunt Dashboardとにていますが、KibanaのSearchにように検索することができるインター フェースになります。

26. Cases ケース管理のためのインターフェースです。アラートやダッシュボード、Huntからケー スを作成することができ、調査の内容などを記載することができます。

27. Pcap StenographerまたはSuricataによってディスクに書き込まれた完全なパケットキャプ チャにアクセスできるPCAPインターフェースがあります。

28. Detections Suricata、Sigma、Yaraの各ルールを管理するためのDetectionsインターフェイスで す。2.4.70から追加された新しくインターフェースになります。

29. Grid ノードのステータスをチェックするためのインターフェースになります。

30. Kibana

31. Kibana Elasticsearch用データ可視化ダッシュボードソフトウェアで、SecurityOnionConsole 以外にも、ダッシュボードが用意されています。Hunt以外にも、Kibanaから検索するこ とができます。

32. Pcapのインポート方法

33. Pcapのインポート方法 画面遷移 1. SecurityOnionConsoleにアクセス 2. 左のメニューバーからGridを選択 3. 上矢印アイコンをクリック 4. 対象のPcapをアップロード

34. 例題

35. 配布物 ・OVA user:sysadmin pass:sysadmin login mail:[email protected] psss:sysadmin IP:192.168.143.5 ・Pcap

36. 参考：SecurityOnionで解析する流れ 1. Suricataで検知があるか 1. ある場合は、どのアラートで検知したかを確認する 2. Zeekで確認 1. Suricataで検知がある場合は、対象のIPやプロトコルのログ を確認する

    2. ない場合、IPやプロトコルに不審なものがないを確認する 1. 実際は、他のセキュリティ機器のアラートが検知した時間 の前後や検知したIPなどから調査する

37. 2019-01-28 - TRAFFIC ANALYSIS EXERCISE - TIMBERSHADE ▪LAN segment data:

    • LAN segment range: 172.17.8[.]0/24 (172.17.8[.]0 through 172.17.8[.]255) • Domain: timbershade[.]info • Domain controller: 172.17.8[.]2 - Timbershade-DC • LAN segment gateway: 172.17.8[.]1 • LAN segment broadcast address: 172.17.8[.]255 ▪シナリオ • 感染したWindowsホストのIPアドレスは？ • 感染したWindowsホストのMACアドレスは？ • 感染したWindowsホストのホスト名は？ • 感染したWindowsホストのWindowsユーザーアカウント名は何か • 感染したWindowsホストに送信されたWindows実行ファイルの SHA256ファイルハッシュは？ • IDSのアラートに基づいて、これはどのようなタイプの感染ですか?

38. 2019-01-28 - TRAFFIC ANALYSIS EXERCISE - TIMBERSHADE ▪シナリオ • 感染したWindowsホストのIPアドレスは？

    • 172.17.8.109 • SuricataのアラートのDestination IPから感染した端末が分かる • DHCPログのhost.hostnameからWindowsホストと推測できる

39. 2019-01-28 - TRAFFIC ANALYSIS EXERCISE - TIMBERSHADE ▪シナリオ • 感染したWindowsホストのMACアドレスは？

    • 14:fe:b5:d4:15:ca • DHCPログのhost.macからMACアドレスが確認できる

40. 2019-01-28 - TRAFFIC ANALYSIS EXERCISE - TIMBERSHADE ▪シナリオ • 感染したWindowsホストのホスト名は？

    • Dunn-Windows-PC • DHCPログのhost.hostnameからホスト名が確認できる

41. 2019-01-28 - TRAFFIC ANALYSIS EXERCISE - TIMBERSHADE ▪シナリオ • 感染したWindowsホストのWindowsユーザーアカウント名は何か

    • margaret.dunn • KerberosログのKerberos.clientからユーザーアカウント名が確認できる

42. 2019-01-28 - TRAFFIC ANALYSIS EXERCISE - TIMBERSHADE ▪シナリオ • 感染したWindowsホストに送信されたWindows実行ファイルのSHA256ファイルハッシュは？

    • 9f6e3e65aedca997c6445329663bd1d279392a34cfda7d1b56461eb41641fa08 • SuricataのアラートでET HUNTING SUSPICIOUS Dotted Quad Host MZ Response • Source IP 91[.]121[.]30.169 Source Port 8000 • File ログから対象になっているIPのログを探す • ファイルのMD5とSHA1が分かるので、VTで検索してSHA256を確認する

43. 2019-01-28 - TRAFFIC ANALYSIS EXERCISE - TIMBERSHADE ▪シナリオ • IDSのアラートに基づいて、これはどのようなタイプの感染ですか?

    • Dridex

44. 演習

45. 2019-12-03 - TRAFFIC ANALYSIS EXERCISE - ICEMAIDEN ▪LAN segment data:

    • LAN segment range:10.18.20[.]0/24 (10.18.20[.]0 through 10.18.20[.]255) • Domain: icemaiden[.]com • Domain controller: 10.18.20[.]8 - Icemaiden-DC • LAN segment gateway:10.18.20[.]1 • LAN segment broadcast address:10.18.20[.]255 ▪シナリオ • 感染したWindowsホストのIPアドレス、MACアドレス、ホスト名は 何ですか？ • 感染したWindowsホスト上の被害者のWindowsユーザーアカウン ト名は何ですか？ • 被害者が感染したマルウェアの種類は？ • pcapのトラフィックから、マルウェアはどこから来た可能性が高い か？ • 最初の感染後、被害者はどのようなタイプのウェブページ/ウェブサ イトを訪問したように見えますか？

46. 2019-12-03 - TRAFFIC ANALYSIS EXERCISE - ICEMAIDEN ▪シナリオ • 感染したWindowsホスト上の被害者のWindowsユーザーアカウント名は何ですか？

    • Zeekのkerberos.logから確認することができる • momia.juanita

47. 2019-12-03 - TRAFFIC ANALYSIS EXERCISE - ICEMAIDEN ▪シナリオ • 感染したWindowsホスト上の被害者のWindowsユーザーアカウント名は何ですか？

    • Zeekのkerberos.logから確認することができる • momia.juanita

48. 2019-12-03 - TRAFFIC ANALYSIS EXERCISE - ICEMAIDEN ▪シナリオ • 被害者が感染したマルウェアの種類は？

    • suricataから確認することができる • Ursnif

49. 2019-12-03 - TRAFFIC ANALYSIS EXERCISE - ICEMAIDEN ▪シナリオ • pcapのトラフィックから、マルウェアはどこから来た可能性が高いか？

    • 感染する直前にmail.aol.comにアクセスしたため、電子メールからの可能性がある。

50. 2019-12-03 - TRAFFIC ANALYSIS EXERCISE - ICEMAIDEN ▪シナリオ • 最初の感染後、被害者はどのようなタイプのウェブページ/ウェブサイトを訪問したように見えますか？

    • bankofamerica.comを含むドメインが複数あることから、被害者は銀行のウェブサイトにアクセスしている

51. 2020-09-25 - TRAFFIC ANALYSIS EXERCISE - TROUBLE ALERT ▪LAN segment

    data: • LAN segment range: 10.0.0[.]0/24 (10.0.0[.]0 through 10.0.0[.]255) • Domain: pascalpig[.]com • Domain controller: 10.0.0[.]10 - Pascalpig-DC • LAN segment gateway: 10.0.0[.]1 • LAN segment broadcast address: 10.9.25[.]255 ▪シナリオ • pcap に基づいてインシデント レポートを作成してください。 Extra