Threat Hunting with Splunk - Detecting Browser Downloaded Files

Threat Hunting with Splunk - Detecting Browser Downloaded Files

Scenario

公司內部安全人員想要知道員工從 Chrome 瀏覽器下載的檔案資訊, 以做後續的分析

ENV

• Docker
• Image: splunk/splunk:9.2
• Client: Windows 7
• Logs format: Sysmon
• Log forwarder: Splunk Universal Forwarder

Hunting

首先我們要先找到使用者從 Chrome 下載檔案的事件, 可以利用 Sysmon Event ID 1, 11, 15

• 1: ProcessCreate
• 11: FileCreate
• 15: FileCreateStreamHash

這次利用 Event ID 15 收集檔案透過瀏覽器下載的資訊

可以把下載的檔案與 hash 顯示出來

找到一個奇怪的檔案叫做 Procdump.zip SHA256 去問一下 VirusTotal 馬上可以知道是否是奇怪的程式, 當然資安公司自己也有很多資料庫或是 hash 各種模糊比對方式

或是比對裡面的 hash 其他資訊

也可以把下載的檔案去翻看看 Event ID 1 找出可以關聯的方向

就可以設計出一個關聯規則是 - 當特定的程式執行了瀏覽器下載的壓縮檔時候觸發

Hint ????

別在公司電腦抓怪怪的東西, 都看得一清二楚

Reference

Sysmon Event ID 15 description