rwx4m - Day 2: Log Analysis (Blue)

It’s the most wonderful time of the year again, and it’s also the most stressful day for Wareville’s Security Operations Center (SOC) team. Despite the overwhelming alerts generated by the new and noisy rules deployed, Wareville’s SOC analysts have been processing them nonstop to ensure the safety of the town.

However, the SOC analysts are now burning out of all the workload needed before Christmas. Numerous open cases are still pending, and similar alerts are still firing repeatedly, making them think of the possibility of false positives out of all this mess.

Now, help the awesome Wareville’s SOC team analyse the alerts to determine whether the rumour is true—that Mayor Malware is instigating chaos within the town.

True Positives vs False Positives

Dalam sebuah Security Operations Center (SOC), berbagai peristiwa dari perangkat yang berbeda dikirimkan ke Security Information and Event Management (SIEM), yang menjadi pusat kebenaran di mana semua informasi dan peristiwa dikumpulkan. Detection Engineering rules atau aturan pendeteksian digunakan untuk mengidentifikasi aktivitas mencurigakan atau berbahaya berdasarkan peristiwa-peristiwa tersebut.

Jika suatu peristiwa atau rangkaian peristiwa memenuhi kondisi yang ditetapkan dalam aturan tersebut, maka akan memicu alert. Alert ini kemudian dianalisis oleh seorang analis SOC untuk menentukan apakah alert tersebut termasuk:

True Positive (TP): Jika alert tersebut benar-benar menunjukkan aktivitas berbahaya.
False Positive (FP): Jika alert tersebut dipicu oleh aktivitas yang sebenarnya tidak berbahaya.

Mengidentifikasi TP dan FP

Secara teori, memisahkan True Positive dari False Positive terdengar sederhana. Namun, dalam praktiknya, proses ini sering kali menjadi pekerjaan yang melelahkan dan membingungkan. Salah satu tantangan utamanya adalah membedakan antara aktivitas seorang penyerang dengan tindakan rutin seorang administrator sistem.

Contohnya:

Jika seorang administrator melakukan perubahan konfigurasi jaringan yang terlihat seperti perilaku tidak biasa, SIEM mungkin memicu alert. Jika analis menentukan bahwa ini adalah tindakan yang sah, maka ini diklasifikasikan sebagai False Positive.
Sebaliknya, jika seorang penyerang menggunakan alat yang memanfaatkan kerentanan dalam jaringan dan ini terdeteksi, maka ini adalah True Positive.

Untuk meningkatkan efisiensi analisis, SOC biasanya melakukan optimasi aturan dan melatih deteksi agar dapat meminimalkan FP dan fokus pada TP, sehingga tim dapat merespons ancaman nyata dengan lebih cepat dan efektif.

Seperti halnya di setiap SOC, para analis di Wareville SOC juga harus membedakan antara TP (True Positive) dan FP (False Positive). Hal ini menjadi semakin sulit bagi mereka menjelang Natal ketika para analis mengalami kelelahan akibat banyaknya alert (alert fatigue). Pada waktu seperti ini, peluang terjadinya kesalahan klasifikasi antara TP menjadi FP, atau sebaliknya, sangat tinggi. Oleh karena itu, para analis sangat menghargai segala bantuan yang dapat mereka terima dalam masa krusial ini.

Di situasi ini, kantor Walikota mengirimkan alert kepada para analis, yang menginformasikan adanya beberapa perintah PowerShell terenkripsi yang dijalankan pada sistem mereka. Mungkin kita bisa membantu mereka menangani hal tersebut.

Langkah pertama, masuk ke Elastic SIEM.

Menurut peringatan yang dikirim oleh kantor Wali Kota, aktivitas tersebut terjadi pada tanggal 1 Desember 2024, antara pukul 09.00 dan 09.30.

Maka di set timeframe menurut informasi waktu tersebut dan mendapat ada 21 events.

Tetapi terlalu susah untuk dibaca maka perlu untuk melakukan filter.

Maka dengan ini, dibuat filter seperti di atas dengan menambah beberapa kolom:

host.hostname: Untuk melihat hostname tempat perintah dijalankan
user.name: Untuk mengetahui User yang melakukan aktivitas.
event.category: untuk memastikan bahwa kita melihat kategori peristiwa yang benar.
process.command_line: Untuk mengetahui perintah spesifik yang dijalankan menggunakan PowerShell.
event.outcome: Untuk mengetahui apakah aktivitas tersebut berhasil atau tidak.

Setelah diterapkan, terdapat beberapa hostname berbeda yang menjalankan encoded powershell yang sama dan sebelum eksekusi perintah powershell ada event autentikasi.

Pada skenarionya, ada sebuah kalimat yang menyatakan bahwa "Saat ditanya, analis memberi tahu kami bahwa akun ini digunakan oleh dua administrator yang tidak berada di kantor saat aktivitas ini terjadi". Makin membingungkan....

Dengan ini, filter akan ditambahkan kolom source.ip untuk melihat siapa yang menjalankan perintah powershell dan melihat event dengan kategori autentication.

Dari event sebelumnya, terlihat bahwa semua autentikasi berhasil sebelum menjalankan encoded powershell. Maka berikutnya, kemungkinan event tersebut ada sebelum hari kejadian.

Timeframe diubah menjadi 29 November 2024 - 01 December 2024. Terlihat bahwa terdapat 6800 event dalam waktu 3 hari.

Kemudian mengganti filter untuk mempersempit pencarian, maka dilihat ip dan username pada event tetaplah sama.

Setelah filter out IP 10.0.11.11, ditemukan ada IP yang berbeda (10.0.255.1) yang memiliki event failure sangat banyak. Dan setelah ip 255.1 berhasil login, dia berhenti. Ini terlihat seperti TRUE POSITIVE (TP) karena terindikasi ada aktivitas Brute Force.

Setelah mengetahui itu, kembali ke bagian powershell. Filter diterapkan untuk kategori event "process" untuk melihat command powershell sebelumnya. Terlihat bahwa "-EncodedCommand" melakukan encoded menggunakan Base64. Tindakan selanjutnya adalah melakukan decode Base64 untuk melihat informasi yang di encode.

Decode menggunakan recipe From Base64 and Decode text. Decode text ke UTF-16LE (1200) karena ini adalah pengkodean yang digunakan oleh PowerShell untuk Base64.

Terlihat bahwa ini adalah perintah untuk melakukan Update Windows.

Akhir cerita, ini adalah tindakan penyelamatan yang dilakukan oleh user ADM-01 yang telah memaksa masuk ke sistem untuk dapat segera melakukan update sistem operasi windows mereka. ADM-01 adalah Glitch (karakter dalam cerita ini).

Google Sites

Report abuse