4ensiX

4ensiX

FPと言ったものはFPを選んだが表示はTPになっていることに気づいた。

SecurityAnalystっぽいことができる!今一押しのサービス「LetsDefend」

今まで、

  • 公開情報から何となくマルウェアの解析とかしていた
  • 無料で配布されているデータセットや資料に倣って学習していた

等でイマイチ実際にSOCであったりでやっていることのイメージがはっきりとしていなかったが、「LetsDefend」に触れたことで「現場ではこういうことやってそう」、「こういう考え方があるのか」ということが見えてきて面白い。

「SecurityAnalystっぽい」と言っているのは、学生の身分で実際に体験したことが無くハッキリとは言えないので。

LetsDefendとは

Blue Teamのためのトレーニングサービスと謳っている通り、ログを見て、マルウェアの動きをみて、エンドポイントの動きを見てSecurityAnalystっぽいことが学べるサービスとなっている。

このサービスの一番の特徴は、とある監視がされているネットワークにて上がったアラートが何が原因であったのか、ログやエンドポイントの動き等から分析を行い分析結果の評価を確認できること。

f:id:Zarat:20220109023823p:plain
https://app.letsdefend.io/tutorial/topology/


難易度は、とても簡単な初心者向けなものからエキスパートなものまで広い。

Pricing

無料のものと、二つの有料コースがある。有料版は月だと$23/$40,年では$225/$360
学生ならば50% off!!!! 詳細は公式に問い合わせてください。

f:id:Zarat:20220108194928p:plain
https://letsdefend.io/の3つの料金体系


ここでいう「case」は、先ほど挙げたアラートのこと。無料版だと、アラートの解析が月に5個までしかできない。ただ、Academyとなっている学習リソース例えば、SecurityAnalystに関連するような用語や考え方の解説、実際に猛威を振るったマルウェアのサンプルと解析の方法(現在は15種類)にはいつでもアクセスできる。
有料版では、別のアラートを解析したり、さらに多くの学習リソースに触れられる。料金の高い方ではアラートの難易度が上がる。

create caseの例

まずはログイン後に左のメニューから、「Monitoring」をクリックする。

f:id:Zarat:20220108200609p:plain
homepage


アラートから気になるものを選び、Actionのアイコンをクリックする。このとき、アラートをクリックすると詳細が表示される。

f:id:Zarat:20220108201128p:plain
click Action

責任を持ってアラートを処理してください。continue. f:id:Zarat:20220108201302p:plain
解析を始めるには、Actionの「>>」,Create Caseをクリックする。
f:id:Zarat:20220108201456p:plain
Create Case

continueすると、CaseManagementDetailに飛ぶのでStart Playbook!から解析を始める。
f:id:Zarat:20220108201702p:plain
Start Playbook!

ここから、表示される選択肢や指示にしたがって解析を行い、自身が解析の結果このアラートを評価した結果が簡易的に評価される。

play SOC140 - Phishing Mail Detected - Suspicious Task Scheduler

このサービスでは、writeupを公開することを推奨しているので、アラート解析の記録はバンバン公開して欲しいとのこと。今回は、「SOC140 - Phishing Mail Detected - Suspicious Task Scheduler」に取り組む。
まずは、上記の「SOC 104 - Malware Detected」と同様にcreate case!

caseの詳細

EventID: 82
Event Time: March 21, 2021, 12:26 p.m.
Rule: SOC140 - Phishing Mail Detected - Suspicious Task Scheduler
Level: Security Analyst
SMTP Address 189.162.189.159
Source Address aaronluo@cmail.carleton.ca
Destination Address mark@letsdefend.io
E-mail Subject COVID19 Vaccine
Device Action Blocked

Parse Email

始まりはcaseの種類によって異なる。メールに関連するアラートの場合は以下の6つの事を確認するところから始まる。

  • When was it sent?
  • What is the email's SMTP address?
  • What is the sender address?
  • What is the recipient address?

まずは、メニューの「LogManagement」から「189.162.189.159」からのメールがいつ届いたのかを探す。

f:id:Zarat:20220109010805p:plain
when was it sent?

次にメニューの「Mailbox」から実際のメールを確認する。
f:id:Zarat:20220109011122p:plain
check mail
f:id:Zarat:20220109011148p:plain
Email Content

  1. When was it sent?
    Mar, 21, 2021, 09:06 AM
  2. What is the email's SMTP address?
    189.162.189.159
  3. What is the sender address?
    aaronluo@cmail.carleton.ca
  4. What is the recipient address?
    mark@letsdefend.io

Are there attachments or URLs in the email?

メールには、「72c812cf21909a48eb9cceb9e04b865d.zip」というzipファイルが付いている。
Answer: Yes

Analyze Url/Attachment

では、「72c812cf21909a48eb9cceb9e04b865d.zip」は何なのか。

$ unzip 72c812cf21909a48eb9cceb9e04b865d.zip 
Archive:  72c812cf21909a48eb9cceb9e04b865d.zip
[72c812cf21909a48eb9cceb9e04b865d.zip] Material.pdf password: 
  inflating: Material.pdf
$ file Material.pdf 
Material.pdf: PDF document, version 1.4
$ md5sum Material.pdf 
72c812cf21909a48eb9cceb9e04b865d  Material.pdf

「Material.pdf」というpdfが入っていた。おそらく、実際のケースでは「Material.pdf」が送られてきたがletsdefendで扱うにあたりzipに収めている。また、letsdefendで配られているzipファイル等のパスワードは「infected」である。
これをVirusTotalで確認すると、
Result: https://www.virustotal.com/gui/file/39fb927c32221134a423760c5d1f58bca4cbbcc87c891c79e390a22b63608eb4/detection
maliciousとはならなかった。
AnyRunで動かしてみると、
https://app.any.run/tasks/f91df909-ce96-4637-aa85-65988e38ea5f
pdfを開き中身をクリックすると「a.pomf[.]cat(69.39.225.3)」から「SUPPLIES LIST.....exe」という実行ファイルが現れる。これが実行されると、

f:id:Zarat:20220109013947p:plain
anyrun SUPPLIES LIST.....exe

ちなみに、「SUPPLIES LIST.....exe」をVirusTotalで確認すると
https://www.virustotal.com/gui/file/fc9bf2effffbbd12c39aa6da2c6e73f44fac91081a5db95b085dd0e1c8fe1a88/detection
ところで、AnyRunで「Material.pdf」と同じhashだと、
https://app.any.run/tasks/a6368a57-910f-46f3-bb44-41bc021f2312/
https://app.any.run/tasks/f45b7659-4f50-492d-9b08-60c02285bcd6/
同じ名前なので似たようなケースなのだろうか。以上から、
Answer: Malicious

Check If Mail Delivered to User?

今回は、caseの詳細より

Device Action Blocked

であるから、
Answer: Not Delivered

Add Artifacts

今回のArtifacts

end playbook

Artifactsを記録し、メモを書いたら終わりとなる。caseを終えて、continueを押すと「Monitoring」のページに戻るので最後に「Action」の「close alert」をクリックする。

f:id:Zarat:20220109022446p:plain
close alert

今回のアラートが「True Positive」だったのか「False Positive」だったのかを選択し、「close alert」をクリックすると評価される。
f:id:Zarat:20220109022729p:plain
close alert TP/FP

そして、「CLOSED ALERTS」のリストをチェックすると終わりに今回のアラートが追加される。
f:id:Zarat:20220109023003p:plain
closed alert

case途中の選択肢と最後の「True Positive」or 「False Positive」でポイントが加算される。間違っていれば赤文字でマイナスポイントとなる。

Let's Defend

今回は怪しいファイルの添付されたメールの例を挙げたが、他にもマルウェアや権限昇格、SQLインジェクションの検知から始まるもの等様々なアラート解析対象があるので是非お試しあれ。