参考:https://medium.com/@joseruizsec/tryhackme-incident-handling-with-splunk-part-1-91e7edff68f1
Reconnaissance Phase
index=botsv1 imreallynotbatman.com
注意时间和搜索模式
注意 sourcetype
查询 包含http流的ip
点进具体的ip中查看 ua头 post url等等
如何验证ip是否被扫描
index=botsv1 imreallynotbatman.com src=40.80.148.42 sourcetype=suricata
关注:alert.signature
找cms关注url 可以使用 http.url 字段
查看web扫描器
查看网站服务器真实ip
Exploitation Phase
扫描后的漏洞利用
搜索所有源对网络活动的计算
index=botsv1 imreallynotbatman.com sourcetype=stream* | stats count(src_ip) as Requests by src_ip | sort - Requests
此查询使用 stats 函数来显示 src_ip 字段中 IP 地址的计数。
现在我们将缩小结果范围以显示发送到我们的 Web 服务器的请求,该服务器的 IP 为 192.168.250.70
#给ip打码意义不大啊:(
index=botsv1 sourcetype=stream:http dest_ip="192.168.250.70"
此查询将查找所有流向 IP 192.168.250.70 的入站流量。
一个本地ip两个远程ip
看一下:http_method
大部分post
index=botsv1 sourcetype=stream:http dest_ip="192.168.250.70" http_method=POST
仔细看一下post
其他值得注意的字段:src_ip form_data http_user_agent url
前面注意到后端使用joomla cms
goole一下:管理员登陆界面:/joomla/administrator/index.php
以此查看是否存在暴力破解
index=botsv1 imreallynotbatman.com sourcetype=stream:http dest_ip="192.168.250.70" uri="/joomla/administrator/index.php"
form+_date :该字段包含通过管理面板页面上的表单发送的请求,该页面有一个登录页面。我们怀疑攻击者可能尝试了多个凭据来尝试访问管理面板。为了确认这一点,我们将深入研究 form_data 字段中包含的值,如下所示:
index=botsv1 sourcetype=stream:http dest_ip="192.168.250.70" http_method=POST uri="/joomla/administrator/index.php" | table _time uri src_ip dest_ip form_data
确实存在暴力破解
使用正则表达式提取username和password字段:form_data=*username*passwd*
index=botsv1 sourcetype=stream:http dest_ip="192.168.250.70" http_method=POST uri="/joomla/administrator/index.php" form_data=*username*passwd* | table _time uri src_ip dest_ip form_data
关于regex (regular expressions):splunk有自带的
rex field=form_data "passwd=(?<creds>\w+)"
index=botsv1 sourcetype=stream:http dest_ip="192.168.250.70" http_method=POST form_data=*username*passwd* | rex field=form_data "passwd=(?<creds>\w+)" | table src_ip creds
提取form_data中password字段含有creds的值
大部分是python脚本的爆破
这个浏览器记录是什么?
index=botsv1 sourcetype=stream:http dest_ip="192.168.250.70" http_method=POST form_data=*username*passwd* | rex field=form_data "passwd=(?<creds>\w+)" |table _time src_ip uri http_user_agent creds
一次对batman账号的登陆尝试
installation phase
获取admin权限后会尝试安装后门
找到playload或恶意程序
尝试:找http流量中.exe
index=botsv1 sourcetype=stream:http dest_ip="192.168.250.70" *.exe
找到包含filename的字段 --part_filename{}.
查看文件是否与恶意地址相关:
单击文件名;它将被添加到搜索查询中,然后查找字段 c_ip,该字段似乎代表客户端 IP。
index=botsv1 sourcetype=stream:http dest_ip="192.168.250.70" "part_filename{}"="3791.exe"
存在关联
这个文件上传后在服务器上执行了吗?
index=botsv1 "3791.exe"
三个来源:Sysmon,WinEventlog,fortigate_utm
证据查看sysmon中eventcode=1
index=botsv1 "3791.exe" sourcetype="XmlWinEventLog" EventCode=1
Action on Objective
网站被篡改 了解篡改的内容
着手点:
index=botsv1 dest=192.168.250.70 sourcetype=suricata
没有外连的ip
index=botsv1 src=192.168.250.70 sourcetype=suricata
由web服务器发起的对三个ip外流
逐一查看目标 IP,查看正在执行何种类型的流量/通信。
index=botsv1 src=192.168.250.70 sourcetype=suricata dest_ip=23.22.63.114
URL 字段显示 2 个 PHP 文件和 1 个 jpeg 文件。这个 jpeg 文件看起来很有趣。让我们更改搜索查询并查看此 jpeg 文件来自何处。
index=botsv1 url="/poisonivy-is-coming-for-you-batman.jpeg" dest_ip="192.168.250.70" | table _time src dest_ip http.hostname url
最终结果清楚地表明,从攻击者的主机 prankglassinebracket.jumpingcrab.com 下载了可疑的 jpeg poisonivy-is-coming-for-you-batman.jpeg,该主机破坏了该网站。
Command and Control
攻击者使用动态 DNS 来解析恶意 IP。我们的目标是找到攻击者决定 DNS 的 IP。
我们将首先选择 fortigate_utm 来查看防火墙日志,然后继续查看其他日志源。
index=botsv1 sourcetype=fortigate_utm"poisonivy-is-coming-for-you-batman.jpeg"
查看 Fortinet 防火墙日志,我们可以看到源 IP、目标 IP 和 URL。查看左侧面板上的字段,字段 url 包含 FQDN(完全限定域名)。
让我们通过查看另一个日志source.stream:http来验证答案。
index=botsv1 sourcetype=stream:http dest_ip=23.22.63.114 "poisonivy-is-coming-for-you-batman.jpeg" src_ip=192.168.250.70
我们已将可疑域识别为命令和控制服务器,攻击者在获得服务器控制权后联系了该服务器。
Weaponization
对手会做:创建恶意软件/恶意文档以获得初始访问/逃避检测等。
建立与目标域相似的域来欺骗用户。
我们在调查过程中发现了一些与攻击者相关的域名/IP 地址。此任务将主要调查 OSINT 站点,看看我们可以获得有关对手的更多信息。
prankglassinebracket.jumpingcrab.com
我们将搜索在线威胁情报网站以获取与此域关联的 IP 地址/域/电子邮件地址等任何信息,这可以帮助我们更多地了解该对手。
上威胁情报社区
与此域关联的一些域/子域:
在威胁情报社区搜索ip:23.22.63.114
我们发现了什么?该 IP 与一些看起来与 WAYNE Enterprise 站点非常相似的域相关联。
Delivery
本课程的任务是使用我们掌握的有关对手的信息,并使用各种威胁搜寻平台和开源情报网站来查找与对手相关的任何恶意软件。
OSINT sites
- Virustotal
- ThreatMiner
- Hybrid-Analysis
我们发现了与该 IP 关联的三个文件,其中一个哈希值为 c99131e0169171935c5ac32615ed6261 的文件似乎是恶意的且令人感兴趣。
总结:
40.80.148.42使用web扫描器扫描网站
142次爆破一次成功
成功登录的ip为23.22.63.114
上传3791.exe 恶意文件
找到了对手 域名 ip
这个ip关联了多个伪装域名
对手邮箱
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
