Slide 1

Slide 1 text

勉強会 非公式日本ユーザー

Slide 2

Slide 2 text

アジェンダ 1.はじめに 1.SecurityOnionとは 2.アーキテクチャ 3.ツール 4.Suricata 5.Zeek 6.SecurityOnionConsole 7.Kibana 8.Pcapのインポート 9.例題 10.演習

Slide 3

Slide 3 text

はじめに

Slide 4

Slide 4 text

本勉強について 目的 Blue Teamの人達向けの勉強会で す。ツールの紹介やハンズオンな どを行っていく予定です。 今後 Calderaなどの攻撃エミュレーシ ョンツールやMISPなどの紹介を 予定しています。

Slide 5

Slide 5 text

SecurityOnionとは

Slide 6

Slide 6 text

SecurityOnionとは • ネットワークとエンドポイントのモニタリング、インシデントレスポンスを 目的としたブルーチーム用のLinuxディストリビューションです。 • 2008年の初回リリースから15年の歴史があります。

Slide 7

Slide 7 text

アーキテクチャ

Slide 8

Slide 8 text

アーキテクチャ SecurityOnionには、複数のデプロイ方法があります。 • Import ⚬ 用途:フォレンジック解析 • Evaluation ⚬ 用途:テスト環境 • Standalone ⚬ 用途:本番環境(一体型) • Distributed ⚬ 用途:本番環境(分散型)

Slide 9

Slide 9 text

Import PcapやWindowsイベントログをインポートするためのタイプです。 主にフォレンジック解析などに使用します。

Slide 10

Slide 10 text

Evaluation/Standalone Importとは違い、モニタリング用のネットワークインターフェー スがあり、専用のインターフェースからトラフィックを監視します 。また、ログはElastic Agentから収集してエンドポイントを監視 します。

Slide 11

Slide 11 text

Distributed トラフィックを収集するForwardノード、SecurityOnionの設定 管理やElasticの検索、分析するManagerノード、ログが集められ るSearchノードと複数のコンポーネントに分かれています。

Slide 12

Slide 12 text

ツール

Slide 13

Slide 13 text

ツール カテゴリ ツール OS Oracle Linux Infrastructure Salt、Docker、Elasticsearch、Reids、Logstash、Elastic fleet、 InfluxDB Network & Host Data Elastic agent、Osquery、 Suricata、Zeek、Strelka Analyst Tools Alerts、Hunt Dashboards 、 Cases 、Cyberchef、Playbook Fleet、Navigator、Kibana

Slide 14

Slide 14 text

Suricata

Slide 15

Slide 15 text

Suricata 高性能なネットワーク IDS、IPS、およびネットワーク セキュリ ティ監視エンジンです。これはオープン ソースであり、コミュニ ティ運営の非営利財団である Open Information Security Foundation ( OISF ) が所有しています。Suricata は OISF に よって開発されています。 ・suricata公式ドキュメント https://docs.suricata.io/en/latest/what-is-suricata.html

Slide 16

Slide 16 text

Suricata rule alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"HTTP GET Request Containing Rule in URI"; flow:established,to_server; http.method; content:"GET"; http.uri; content:"rule"; fast_pattern; classtype:bad- unknown; sid:123; rev:1;) 色 名称 概要 赤 アクション IDSはAlertのみ Alert:アラートを生成 IPSはpass,drop,rejectなど pass: パケットの検査を中止 drop:パケットを廃棄し、アラートを生成 reject:一致したパケットの送信者にRST/ICMPアンリーチエラーを送信 緑 ヘッダー ヘッダーの構成:プロトコル 送信元IP 送信元ポート 方向 宛先IP 宛先ポート 青 オプション フィルターまたは条件を指定します。

Slide 17

Slide 17 text

Zeek

Slide 18

Slide 18 text

Zeek Zeekはパッシブなオープンソースのネットワーク・トラフィッ ク・アナライザです。多くのオペレータは、Zeekをネットワー ク・セキュリティ・モニタ(NSM)として使用し、疑わしい活動 や悪意のある活動の調査をサポートしています。Zeek はまた、パ フォーマンス測定やトラブルシューティングなど、セキュリティ領 域を超えた幅広いトラフィック解析タスクもサポートしています。 ・Zeek公式ドキュメント https://docs.zeek.org/en/master/about.html

Slide 19

Slide 19 text

Zeek • ログは以下のディレクトリに保存されています。 • /nsm/zeek/logs • 出力されたログはElastic Agent経由でElasticsearchに送られ ます。

Slide 20

Slide 20 text

Zeek Zeek Logs 概要 conn.log コネクションログ TCP・UDP・ICMPが記録されている dns.log DNSログ DNSのアクティビティが記録されている http.log HTTPログ HTTPのリクエストとリプライが記録されている ftp.log FTPログ FTPのアクティビティが記録されている ssl.log SSLログ SSL/TLSハンドシェイクが記録されている x509.log X509ログ X.509証明書が記録されている smtp.log smtpログ smtpのトランザクションが記録されている ssh.log sshログ ssh接続が記録されている pe.log peログ PEファイルの情報が記録されている dhcp.log DHCPログ DHCPの情報が記録されている

Slide 21

Slide 21 text

SecurityOnionConsole

Slide 22

Slide 22 text

SecurityOnionConsole Security Onion Consoleは、SecurityOnionのWebダッシュボードです。 ケース管理、 検索のダッシュボード、アラート、Pcapなどの機能があります。

Slide 23

Slide 23 text

Alert SecurityOnionが生成するアラートが一覧で表示されます。アラートの詳細を確認した り、HuntやPcapなどの機能にピポットしたり、アラートからケースを作成することも できます。

Slide 24

Slide 24 text

Dashboards Kibanaのように、データを分析できるダッシュボードです。エンドポイントなどデフォ ルトでいくつか用意されています。

Slide 25

Slide 25 text

Hunt Dashboardとにていますが、KibanaのSearchにように検索することができるインター フェースになります。

Slide 26

Slide 26 text

Cases ケース管理のためのインターフェースです。アラートやダッシュボード、Huntからケー スを作成することができ、調査の内容などを記載することができます。

Slide 27

Slide 27 text

Pcap StenographerまたはSuricataによってディスクに書き込まれた完全なパケットキャプ チャにアクセスできるPCAPインターフェースがあります。

Slide 28

Slide 28 text

Detections Suricata、Sigma、Yaraの各ルールを管理するためのDetectionsインターフェイスで す。2.4.70から追加された新しくインターフェースになります。

Slide 29

Slide 29 text

Grid ノードのステータスをチェックするためのインターフェースになります。

Slide 30

Slide 30 text

Kibana

Slide 31

Slide 31 text

Kibana Elasticsearch用データ可視化ダッシュボードソフトウェアで、SecurityOnionConsole 以外にも、ダッシュボードが用意されています。Hunt以外にも、Kibanaから検索するこ とができます。

Slide 32

Slide 32 text

Pcapのインポート方法

Slide 33

Slide 33 text

Pcapのインポート方法 画面遷移 1. SecurityOnionConsoleにアクセス 2. 左のメニューバーからGridを選択 3. 上矢印アイコンをクリック 4. 対象のPcapをアップロード

Slide 34

Slide 34 text

例題

Slide 35

Slide 35 text

配布物 ・OVA user:sysadmin pass:sysadmin login mail:test@gmail.com psss:sysadmin IP:192.168.143.5 ・Pcap

Slide 36

Slide 36 text

参考:SecurityOnionで解析する流れ 1. Suricataで検知があるか 1. ある場合は、どのアラートで検知したかを確認する 2. Zeekで確認 1. Suricataで検知がある場合は、対象のIPやプロトコルのログ を確認する 2. ない場合、IPやプロトコルに不審なものがないを確認する 1. 実際は、他のセキュリティ機器のアラートが検知した時間 の前後や検知したIPなどから調査する

Slide 37

Slide 37 text

2019-01-28 - TRAFFIC ANALYSIS EXERCISE - TIMBERSHADE ■LAN segment data: • LAN segment range: 172.17.8[.]0/24 (172.17.8[.]0 through 172.17.8[.]255) • Domain: timbershade[.]info • Domain controller: 172.17.8[.]2 - Timbershade-DC • LAN segment gateway: 172.17.8[.]1 • LAN segment broadcast address: 172.17.8[.]255 ■シナリオ • 感染したWindowsホストのIPアドレスは? • 感染したWindowsホストのMACアドレスは? • 感染したWindowsホストのホスト名は? • 感染したWindowsホストのWindowsユーザーアカウント名は何か • 感染したWindowsホストに送信されたWindows実行ファイルの SHA256ファイルハッシュは? • IDSのアラートに基づいて、これはどのようなタイプの感染ですか?

Slide 38

Slide 38 text

2019-01-28 - TRAFFIC ANALYSIS EXERCISE - TIMBERSHADE ■シナリオ • 感染したWindowsホストのIPアドレスは? • 172.17.8.109 • SuricataのアラートのDestination IPから感染した端末が分かる • DHCPログのhost.hostnameからWindowsホストと推測できる

Slide 39

Slide 39 text

2019-01-28 - TRAFFIC ANALYSIS EXERCISE - TIMBERSHADE ■シナリオ • 感染したWindowsホストのMACアドレスは? • 14:fe:b5:d4:15:ca • DHCPログのhost.macからMACアドレスが確認できる

Slide 40

Slide 40 text

2019-01-28 - TRAFFIC ANALYSIS EXERCISE - TIMBERSHADE ■シナリオ • 感染したWindowsホストのホスト名は? • Dunn-Windows-PC • DHCPログのhost.hostnameからホスト名が確認できる

Slide 41

Slide 41 text

2019-01-28 - TRAFFIC ANALYSIS EXERCISE - TIMBERSHADE ■シナリオ • 感染したWindowsホストのWindowsユーザーアカウント名は何か • margaret.dunn • KerberosログのKerberos.clientからユーザーアカウント名が確認できる

Slide 42

Slide 42 text

2019-01-28 - TRAFFIC ANALYSIS EXERCISE - TIMBERSHADE ■シナリオ • 感染したWindowsホストに送信されたWindows実行ファイルのSHA256ファイルハッシュは? • 9f6e3e65aedca997c6445329663bd1d279392a34cfda7d1b56461eb41641fa08 • SuricataのアラートでET HUNTING SUSPICIOUS Dotted Quad Host MZ Response • Source IP 91[.]121[.]30.169 Source Port 8000 • File ログから対象になっているIPのログを探す • ファイルのMD5とSHA1が分かるので、VTで検索してSHA256を確認する

Slide 43

Slide 43 text

2019-01-28 - TRAFFIC ANALYSIS EXERCISE - TIMBERSHADE ■シナリオ • IDSのアラートに基づいて、これはどのようなタイプの感染ですか? • Dridex

Slide 44

Slide 44 text

演習

Slide 45

Slide 45 text

2019-12-03 - TRAFFIC ANALYSIS EXERCISE - ICEMAIDEN ■LAN segment data: • LAN segment range:10.18.20[.]0/24 (10.18.20[.]0 through 10.18.20[.]255) • Domain: icemaiden[.]com • Domain controller: 10.18.20[.]8 - Icemaiden-DC • LAN segment gateway:10.18.20[.]1 • LAN segment broadcast address:10.18.20[.]255 ■シナリオ • 感染したWindowsホストのIPアドレス、MACアドレス、ホスト名は 何ですか? • 感染したWindowsホスト上の被害者のWindowsユーザーアカウン ト名は何ですか? • 被害者が感染したマルウェアの種類は? • pcapのトラフィックから、マルウェアはどこから来た可能性が高い か? • 最初の感染後、被害者はどのようなタイプのウェブページ/ウェブサ イトを訪問したように見えますか?

Slide 46

Slide 46 text

2019-12-03 - TRAFFIC ANALYSIS EXERCISE - ICEMAIDEN ■シナリオ • 感染したWindowsホスト上の被害者のWindowsユーザーアカウント名は何ですか? • Zeekのkerberos.logから確認することができる • momia.juanita

Slide 47

Slide 47 text

2019-12-03 - TRAFFIC ANALYSIS EXERCISE - ICEMAIDEN ■シナリオ • 感染したWindowsホスト上の被害者のWindowsユーザーアカウント名は何ですか? • Zeekのkerberos.logから確認することができる • momia.juanita

Slide 48

Slide 48 text

2019-12-03 - TRAFFIC ANALYSIS EXERCISE - ICEMAIDEN ■シナリオ • 被害者が感染したマルウェアの種類は? • suricataから確認することができる • Ursnif

Slide 49

Slide 49 text

2019-12-03 - TRAFFIC ANALYSIS EXERCISE - ICEMAIDEN ■シナリオ • pcapのトラフィックから、マルウェアはどこから来た可能性が高いか? • 感染する直前にmail.aol.comにアクセスしたため、電子メールからの可能性がある。

Slide 50

Slide 50 text

2019-12-03 - TRAFFIC ANALYSIS EXERCISE - ICEMAIDEN ■シナリオ • 最初の感染後、被害者はどのようなタイプのウェブページ/ウェブサイトを訪問したように見えますか? • bankofamerica.comを含むドメインが複数あることから、被害者は銀行のウェブサイトにアクセスしている

Slide 51

Slide 51 text

2020-09-25 - TRAFFIC ANALYSIS EXERCISE - TROUBLE ALERT ■LAN segment data: • LAN segment range: 10.0.0[.]0/24 (10.0.0[.]0 through 10.0.0[.]255) • Domain: pascalpig[.]com • Domain controller: 10.0.0[.]10 - Pascalpig-DC • LAN segment gateway: 10.0.0[.]1 • LAN segment broadcast address: 10.9.25[.]255 ■シナリオ • pcap に基づいてインシデント レポートを作成してください。 Extra