Threat Hunting with Splunk - Detecting Browser Downloaded Files
Contents
Threat Hunting with Splunk - Detecting Browser Downloaded Files
Scenario
公司內部安全人員想要知道員工從 Chrome 瀏覽器下載的檔案資訊, 以做後續的分析
ENV
- Docker
- Image: splunk/splunk:9.2
- Client: Windows 7
- Logs format: Sysmon
- Log forwarder: Splunk Universal Forwarder
Hunting
首先我們要先找到使用者從 Chrome 下載檔案的事件, 可以利用 Sysmon Event ID 1, 11, 15
- 1: ProcessCreate
- 11: FileCreate
- 15: FileCreateStreamHash
這次利用 Event ID 15 收集檔案透過瀏覽器下載的資訊
可以把下載的檔案與 hash 顯示出來
找到一個奇怪的檔案叫做 Procdump.zip
SHA256 去問一下 VirusTotal 馬上可以知道是否是奇怪的程式, 當然資安公司自己也有很多資料庫或是 hash 各種模糊比對方式
或是比對裡面的 hash 其他資訊
也可以把下載的檔案去翻看看 Event ID 1 找出可以關聯的方向
就可以設計出一個關聯規則是 - 當特定的程式執行了瀏覽器下載的壓縮檔時候觸發
Hint ????
別在公司電腦抓怪怪的東西, 都看得一清二楚