あんたいとる

無駄の中に宝がある!

【TryHackMe】Splunk2

TryHackMe

Task3 100 series questions

Question 1

  • amberが含まれるログを検索。
index="botsv2" amber
  • PaloAltoのトラフィックログからamberが含まれるログを検索すると結果からSrcIPが1つに絞られる。
index="botsv2" sourcetype="pan:traffic" amber
  • HTTP通信ログを対象にSrcIPで検索。
index="botsv2" 10.0.2.101 sourcetype="stream:http"
  • サイトをテーブル表示(重複排除)
index="botsv2" 10.0.2.101 sourcetype="stream:http" | dudup site | table site
  • 問題がないサイトは除外して表示する
index="botsv2" 10.0.2.101 sourcetype="stream:http" NOT (site=*.microsoft.com OR site=*.bing.com OR site=*.windows.com) | dedup site | table site

※他にも不要なサイトがあれば追加して検索結果を絞っていく。

  • amberはビール業界で働いているので beer を検索に追加
index="botsv2" 10.0.2.101 sourcetype="stream:http" NOT (site=*.microsoft.com OR site=*.bing.com OR site=*.windows.com) beer | dedup site | table site

Question 2

index="botsv2" 10.0.2.101 sourcetype="stream:http" www.berkbeer.com | table uri_path

Question 3 - 7

  • メールログからamberを含むものを確認。
index="botsv2" sourcetype="stream:smtp" amber
  • amberのメールアドレスを確認して検索ワードに追加。
index="botsv2" sourcetype="stream:smtp" amber aturing@froth.ly
  • さらに相手のドメイン名を検索ワードに追加
index="botsv2" sourcetype="stream:smtp" amber aturing@froth.ly berkbeer.com

検索結果が4件に絞れるので、各ログの「Show as raw text」のリンクを展開し内容を確認。

Task4 200 series questions

Question 1

index="botsv2" amber tor sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"

上記で結果を絞ったあと、左メニューの「INTERESTING FIELDS」にあるimagesをクリックするとインストーラーのバージョンを確認できる。

Question 2

index="botsv2" brewertalk.com | dedup dest_ip | table src_ip dest_ip

Question 3

index="botsv2" brewertalk.com

上記で結果を絞ったあと、左メニューの「src_ip」をクリックしCountが一番多いIPを確認。

Question 4

index="botsv2" brewertalk.com sourcetype="stream:http" src_ip="45.77.65.211"

上記で結果を絞ったあと、左メニューの「uri_path」をクリックし、ユーザ情報と関連しそうなパスを確認。

Question 5

index="botsv2" brewertalk.com sourcetype="stream:http" src_ip="45.77.65.211" uri_path="/member.php" | dedup form_data 
| table form_data

Question 6

index="botsv2" kevin sourcetype="stream:http" 
| table cookie

上記で結果を絞ったあと、ログの中の「form_data」フィールドを確認。

Question 7

index="botsv2" sourcetype="stream:http" 1bc3eab741900ab25c98eee86bf20feb brewertalk.com
|  table form_data

Task5 300 series questions

Question 1

index="botsv2" mallory

上記結果から、左メニューの「src」でmalloryのホストを確認。ホスト名をフィルタに追加しさらのパワーポイントの拡張子もフィルタに追加。

index="botsv2" src="MACLORY-AIR13" (*.ppt OR *.pptx)

Question 2

index="botsv2" src="MACLORY-AIR13"  *crypt NOT *.pdf

Question 3 - 7

index="botsv2" kutekitten

検索結果の左メニューから「columns.path」を確認すると「/Users/mkraeusen/Library」が一番多い。 "/Users/mkraeusen"を含むログを抽出。

index="botsv2" host=kutekitten "\\/Users\\/mkraeusen"

左メニューの xx more fieldのリンクをクリックし、columns.target_path を追加。

index="botsv2" host=kutekitten "\\/Users\\/mkraeusen" "columns.target_path"="/Users/mkraeusen/Downloads/Important_HR_INFO_for_mkraeusen"

結果が5つに絞れるので「show as row text」のリンクを展開し、生ログを確認。ファイルのMD5値が記載されているログがあるので日付部分のリンクをクリックし+-60秒のログを表示させる。 その上で usbキーワードで検索。

index="botsv2" host=kutekitten usb

usbのmodel id と vendor idがログで見つかるのでこちらで検索。

マルウェアの情報は、ログに記録されているMD5値を使ってVirus Totalで検索。マルウェアがどのプログラミン言語で書かれているか、最初に確認された日付、C&CサーバのFQDNを確認できる。

Task6 400 series questions

Question 1

index="botsv2" sourcetype="stream:smtp" *.zip | reverse

Question 2

index="botsv2" sourcetype="stream:smtp" *.zip password | reverse

Question 3

index="botsv2" sourcetype="stream:tcp" 45.77.65.211

結果の左メニューのxx more fieldのリンクをクリックし「ssl_issuer」を追加。「ssl_issuer」の情報を確認する。

Question 4

index="botsv2" sourcetype="stream:ftp" method=RETR

結果のログから filenameフィールドを確認。 AttackBoxで、filenameをコピーして解答欄に張り付けるとエスケープされたユニコード文字列になってしまうので、https://gchq.github.io/CyberChef/ で「Unescape Unicode Characters」に変換してから貼り付ける。

Question 5

Virus Totalの画面でDetailsタブの内容を確認。

Question 6

Any.run の画面で確認。

Question 7

index="botsv2" schtasks.exe

検索結果が多いので sourcetypeをSysmonにする。

index="botsv2" schtasks.exe sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"

まだ検索結果が多いので、左メニューから「commandline」を確認するとpowershellを起動するスケジュールの登録が確認できる。
さらに左メニューの「ParentCommandLine」を見るとschtask.exeを起動しているpowershellのCommandLineが見れるのでこれでフィルタする。

index="botsv2" schtasks.exe sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" 
| dedup ParentCommandLine 
| table ParentCommandLine CommandLine

レジストリに何か登録していると思われるので、詳細を確認するため、source=WinRegistryと上記検索結果で確認できたレジストリパスでフィルタする。

index="botsv2" source=WinRegistry "\\software\\microsoft\\Network"

検索結果のログの「data」フィールドを確認すると、Base64エンコードのようなので変換サイトで変換してみて内容を確認する。