Boss Of The SOC v1 splunk筆記

# Boss Of The SOC v1 splunk筆記 ## 介紹 Boss Of The SOC 是 splunk 出的模擬資安log分析用的訓練網站可以下載一整包的檔案，之後跟著題目一步步找出惡意組織進行攻擊的軌跡 ![image](https://hackmd.io/_uploads/BJbSe0REC.png) --- ## 進入位置 1. 裝好virtualbox 2. https://cyberdefenders.org/labs/15 抓vm檔案 Download Challenge 3. 解壓縮匯入後開機 4. 輸入 http://127.0.0.1:8000 開啟splunk介面 --- ## 介面調整記得勾選無事件取向(No Event Sampling)，免得資料被篩選過找不到 ![](https://i.imgur.com/8yjQBqn.png) --- ## 解題 writeup :::warning 注意，以下內容包含答案如果想要自己解請不要往下看 ::: --- 1. 用的軟體名稱叫什麼 > splunk ![](https://i.imgur.com/Xw7HCLz.png) 2. 惡意組織 Po1s0n1vy 在掃描 imreallynotbatman.com ，他們從哪個ip來的? 透過 IIS Log ，source = C:\inetpub\logs\LogFiles\W3SVC1\u_ex160810.log 找到http POST紀錄，來自這組ip 40.80.148.42 ![](https://i.imgur.com/0nimpXP.png) 3. Po1s0n1vy 使用的 Web 漏洞掃描程序是? 限縮來源ip "src_ip" = "40.80.148.42" 在 src header欄位找到 Acunetix ![](https://i.imgur.com/7WXht0y.png) 4. imreallynotbatman.com 可能使用什麼內容管理系統？在網址中找到關鍵字 joomla ![](https://i.imgur.com/ipTD8gj.png) 5. 找檔案 fileinfo.filename=* | stats count by filename --- 卡關看解答 https://www.youtube.com/watch?v=iXklX5WAslQ --- ## 找惡意網站和對應ip catdesc="Malicious Websites" ![](https://i.imgur.com/MI4FHDh.png) ## 找email 可以到 virustotal 搜尋敏感ip 23.22.63.114 https://www.virustotal.com/gui/ip-address/23.22.63.114/details 但查不到內容於是換一個工具改用 threatcrowd 尋找關聯 https://threatcrowd.org/ip.php?ip=23.22.63.114 發現橘色的節點 LILLIAN.ROSE@PO1S0N1VY.COM 結尾就是惡意網域 ![](https://i.imgur.com/wS0MEtE.png) ## 找檔案設定 sourcetype 用 Microsoft-Windows-Sysmon，這是一個監控系統紀錄的工具介紹如下 https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon 檔案是從 23.22.63.114 傳進來的 ## 取檔案 hash 並且利用 EventCode=1 找被建立的執行程序，取出hash sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" 3791.exe EventCode=1 app="C:\\inetpub\\wwwroot\\joomla\\3791.exe"

Read more

我常用的語法

MSSQL 資料庫製作觸發程式 (自動補更新日期)

更新到 Visual Studio 2022 可能會遇到的問題

Sql Server always encrypted 資料庫加密