SecurityAnalystっぽいことができる!今一押しのサービス「LetsDefend」
今まで、
等でイマイチ実際にSOCであったりでやっていることのイメージがはっきりとしていなかったが、「LetsDefend」に触れたことで「現場ではこういうことやってそう」、「こういう考え方があるのか」ということが見えてきて面白い。
「SecurityAnalystっぽい」と言っているのは、学生の身分で実際に体験したことが無くハッキリとは言えないので。
- LetsDefendとは
- Pricing
- create caseの例
- play SOC140 - Phishing Mail Detected - Suspicious Task Scheduler
- Let's Defend
LetsDefendとは
Blue Teamのためのトレーニングサービスと謳っている通り、ログを見て、マルウェアの動きをみて、エンドポイントの動きを見てSecurityAnalystっぽいことが学べるサービスとなっている。
このサービスの一番の特徴は、とある監視がされているネットワークにて上がったアラートが何が原因であったのか、ログやエンドポイントの動き等から分析を行い分析結果の評価を確認できること。
難易度は、とても簡単な初心者向けなものからエキスパートなものまで広い。
Pricing
無料のものと、二つの有料コースがある。有料版は月だと$23/$40,年では$225/$360
学生ならば50% off!!!! 詳細は公式に問い合わせてください。
ここでいう「case」は、先ほど挙げたアラートのこと。無料版だと、アラートの解析が月に5個までしかできない。ただ、Academyとなっている学習リソース例えば、SecurityAnalystに関連するような用語や考え方の解説、実際に猛威を振るったマルウェアのサンプルと解析の方法(現在は15種類)にはいつでもアクセスできる。
有料版では、別のアラートを解析したり、さらに多くの学習リソースに触れられる。料金の高い方ではアラートの難易度が上がる。
create caseの例
まずはログイン後に左のメニューから、「Monitoring」をクリックする。
アラートから気になるものを選び、Actionのアイコンをクリックする。このとき、アラートをクリックすると詳細が表示される。
責任を持ってアラートを処理してください。continue.
解析を始めるには、Actionの「>>」,Create Caseをクリックする。
continueすると、CaseManagementDetailに飛ぶのでStart Playbook!から解析を始める。
ここから、表示される選択肢や指示にしたがって解析を行い、自身が解析の結果このアラートを評価した結果が簡易的に評価される。
play SOC140 - Phishing Mail Detected - Suspicious Task Scheduler
このサービスでは、writeupを公開することを推奨しているので、アラート解析の記録はバンバン公開して欲しいとのこと。今回は、「SOC140 - Phishing Mail Detected - Suspicious Task Scheduler」に取り組む。
まずは、上記の「SOC 104 - Malware Detected」と同様にcreate case!
caseの詳細
EventID: 82
Event Time: March 21, 2021, 12:26 p.m.
Rule: SOC140 - Phishing Mail Detected - Suspicious Task Scheduler
Level: Security Analyst
SMTP Address 189.162.189.159
Source Address aaronluo@cmail.carleton.ca
Destination Address mark@letsdefend.io
E-mail Subject COVID19 Vaccine
Device Action Blocked
Parse Email
始まりはcaseの種類によって異なる。メールに関連するアラートの場合は以下の6つの事を確認するところから始まる。
- When was it sent?
- What is the email's SMTP address?
- What is the sender address?
- What is the recipient address?
まずは、メニューの「LogManagement」から「189.162.189.159」からのメールがいつ届いたのかを探す。
次にメニューの「Mailbox」から実際のメールを確認する。
- When was it sent?
Mar, 21, 2021, 09:06 AM - What is the email's SMTP address?
189.162.189.159 - What is the sender address?
aaronluo@cmail.carleton.ca - What is the recipient address?
mark@letsdefend.io
Are there attachments or URLs in the email?
メールには、「72c812cf21909a48eb9cceb9e04b865d.zip」というzipファイルが付いている。
Answer: Yes
Analyze Url/Attachment
では、「72c812cf21909a48eb9cceb9e04b865d.zip」は何なのか。
$ unzip 72c812cf21909a48eb9cceb9e04b865d.zip Archive: 72c812cf21909a48eb9cceb9e04b865d.zip [72c812cf21909a48eb9cceb9e04b865d.zip] Material.pdf password: inflating: Material.pdf $ file Material.pdf Material.pdf: PDF document, version 1.4 $ md5sum Material.pdf 72c812cf21909a48eb9cceb9e04b865d Material.pdf
「Material.pdf」というpdfが入っていた。おそらく、実際のケースでは「Material.pdf」が送られてきたがletsdefendで扱うにあたりzipに収めている。また、letsdefendで配られているzipファイル等のパスワードは「infected」である。
これをVirusTotalで確認すると、
Result: https://www.virustotal.com/gui/file/39fb927c32221134a423760c5d1f58bca4cbbcc87c891c79e390a22b63608eb4/detection
maliciousとはならなかった。
AnyRunで動かしてみると、
https://app.any.run/tasks/f91df909-ce96-4637-aa85-65988e38ea5f
pdfを開き中身をクリックすると「a.pomf[.]cat(69.39.225.3)」から「SUPPLIES LIST.....exe」という実行ファイルが現れる。これが実行されると、
ちなみに、「SUPPLIES LIST.....exe」をVirusTotalで確認すると
https://www.virustotal.com/gui/file/fc9bf2effffbbd12c39aa6da2c6e73f44fac91081a5db95b085dd0e1c8fe1a88/detection
ところで、AnyRunで「Material.pdf」と同じhashだと、
https://app.any.run/tasks/a6368a57-910f-46f3-bb44-41bc021f2312/
https://app.any.run/tasks/f45b7659-4f50-492d-9b08-60c02285bcd6/
同じ名前なので似たようなケースなのだろうか。以上から、
Answer: Malicious
Check If Mail Delivered to User?
今回は、caseの詳細より
Device Action Blocked
であるから、
Answer: Not Delivered
Add Artifacts
今回のArtifacts
- E-mail Sender: aaronluo@cmail.carleton.ca
- E-mail Domain: cmail.carleton.ca
- IP Address: 189.162.189.159(sender)
https://www.virustotal.com/gui/ip-address/189.162.189.159 - MD5 Hash: 72c812cf21909a48eb9cceb9e04b865d->Material.pdf(attachment)
end playbook
Artifactsを記録し、メモを書いたら終わりとなる。caseを終えて、continueを押すと「Monitoring」のページに戻るので最後に「Action」の「close alert」をクリックする。
今回のアラートが「True Positive」だったのか「False Positive」だったのかを選択し、「close alert」をクリックすると評価される。
そして、「CLOSED ALERTS」のリストをチェックすると終わりに今回のアラートが追加される。
case途中の選択肢と最後の「True Positive」or 「False Positive」でポイントが加算される。間違っていれば赤文字でマイナスポイントとなる。
Let's Defend
今回は怪しいファイルの添付されたメールの例を挙げたが、他にもマルウェアや権限昇格、SQLインジェクションの検知から始まるもの等様々なアラート解析対象があるので是非お試しあれ。