×
Copy
Open
Link
Embed
Share
Beginning
This slide
Copy link URL
Copy link URL
Copy iframe embed code
Copy iframe embed code
Copy javascript embed code
Copy javascript embed code
Share
Tweet
Share
Tweet
Slide 1
Slide 1 text
Splunkログ解析 国際電子ビジネス専門学校 野口りく
Slide 2
Slide 2 text
テーマ 不審なIPアドレス40.80.148.42 について 調査をしていく
Slide 3
Slide 3 text
Fortigate_utm の ipsに絞る • 上記の内容のsrcipを表示すると二つしかない サーチ文 index=botsv1c sourcetype=“fortigate_utm” subtype=ips | top srcip
Slide 4
Slide 4 text
具体的にどんなアラートを出しているか を調査 サーチ文 index=botsv1c sourcetype="fortigate_utm" subtype=ips srcip=40.80.148.42 hostname=imreallynotbatman.com | top attack
Slide 5
Slide 5 text
Acunetix.Web.Vulnerability.Scannerが一番 アラートがおおい
Slide 6
Slide 6 text
Acunetix.Web.Vulnerability.Scannerとは • Webサイトに 潜む脆弱性を診断するソフトウェア • SQLインジェクションやクロスサイトスクリプティングの 脆弱性をスキャンできる
Slide 7
Slide 7 text
ここまでで • ここまでで40.80.148.42がWebサーバーに対して脆弱性スキャ ンを行っていたことが分かった →次に40.80.148.42がどのURLにリクエストを投げているかを調 べたいのでWebサーバーのログを見てみる
Slide 8
Slide 8 text
どのURLにリクエストを送っているか調査 サーチ文 index=botsv1c sourcetype=iis c_ip=40.80.148.42 | stats count values(sc_status) by cs_uri_stem | sort - count
Slide 9
Slide 9 text
ここまでで • Joomlaという文字列のあるURLへのリクエストに対してステー タスコード200のレスポンスを返しているのでJoomlaを使用し ていることが攻撃者にばれてしまった • 次にどのURLへのリクエストが多いかを調査する ※JoomlaとはCMSの一つ
Slide 10
Slide 10 text
管理者画面へ多数のアクセスがある サーチ文 index=botsv1c sourcetype=stream:http site="imreallynotbatman.com" http_method=POST | top uri
Slide 11
Slide 11 text
短時間に多数のログイン試行の形跡 サーチ文 index=botsv1c sourcetype=stream:http site="imreallynotbatman.com" http_method=POST uri="/joomla/administrator/index.php" | table _time,c_ip,form_data | sort _time
Slide 12
Slide 12 text
グラフで見てみると 5秒間に最大で58件のアクセスをしている
Slide 13
Slide 13 text
ユーザー名とパスワードの組み合わせご との試行回数を集計 サーチ文 index=botsv1c sourcetype=stream:http site="imreallynotbatman.com" http_method=POST uri="/joomla/administrator/index.php" form_data="*username*" form_data="*passwd*" | rex field=form_data "username=(?[^&]+)" | rex field=form_data "passwd=(?[^&]+)" | eval user_pass=username.":".passwd | stats count values(c_ip) by user_pass | sort -count
Slide 14
Slide 14 text
adminとbatmanの組み合わせのみ2回の ログイン試行がある
Slide 15
Slide 15 text
ブルートフォース攻撃をうけた • ブルートフォース攻撃でパスワードクラックを受けてしまい攻 撃者が管理者画面へのログインを成功させてしまった可能性が ある →その後の動きを調査
Slide 16
Slide 16 text
管理者画面にログイン後の動きを追う サーチ文 index=botsv1c sourcetype=stream:http c_ip=40.80.148.42 “7598a3465c906161e060ac551a9e0276=9qfk2654t4rmhltilkfhe7ua23 ”http_method=POST “.exe” |sort _time
Slide 17
Slide 17 text
詳しく見てみる ファイルのアップロードが成功していることが分かった。
Slide 18
Slide 18 text
3791.exeについて調査を進めると • 言うとUTMのログでウイルスとして検知してい ることが分かった。
Slide 19
Slide 19 text
• サーチ文 index=botsv1c sourcetype="fortigate_utm" "subtype=virus" 3791.exe | fields date,time,srcip,dstip,file_name,file_hash,category,msg
Slide 20
Slide 20 text
Fortinet社のサイトを見てみると、 3791.exeをバックドアとして検知しているこ とが分かった。
Slide 21
Slide 21 text
ここまでで • これまでの調査からバックドアをアップロードされてしまい、 そのバックドア経由でWebサーバーを遠隔操作できてしまう 状態となってしまったことが分かった。 →Webサーバーから外部への通信で怪しいものがないかを調査
Slide 22
Slide 22 text
怪しい通信が判明 サーチ文 index=botsv1c sourcetype="stream:http“ c_ip="192.168.250.70" | stats count by dest_ip,site
Slide 23
Slide 23 text
詳しく見てみると サーチ文 index=botsv1c sourcetype="stream:http“ src_ip=192.168.250.70 dest_ip=23.22.63.114 | table _time,src_ip,dest_ip, request jpegファイルを取得しているのがわかる
Slide 24
Slide 24 text
サーバーのイベントログを見てみる サーチ文 index=botsv1c sourcetype=xmlwineventlog .jpeg | table _time,CommandLine| sort _time 画像の差し替えが行われた可能性が高いことが 分かった。
Slide 25
Slide 25 text
偵察 武器化 デリバリー エクスプロ イト インストー ル C&C 目的の実行 40.80.148.42から Acunetix(脆弱性スキャン) CMS joomlaの特定 23.22.63.114から ブルートフォース 40.80.148.42が admin:batmanで ログイン 40.80.148.42が 3791.exeを アップロード prankglassinebracket. jumpingcrab.com 23.22.63.114 から jpegを取得 画像の差し替え
Slide 26
Slide 26 text
対策法 • ログイン試行回数を制限する • 簡単なIDやパスワードを使えないようにする • 管理者画面へのURLを変更する
Slide 27
Slide 27 text
ご覧いただきありがとうございました