CISA(米国国土安全保障省傘下のサイバーセキュリティ機関)がリリースしたフォレンジックツールのCHIRP、これは、攻撃されたSolarWinds Orionを悪用した攻撃のIoC詳細を検知する目的がその一つです。もう一つは、攻撃されたMS Cloud環境における脅威アクティビティの検知(同機関からリリースされているSparrowでIoC検知)。テスト用のWindows Server環境で走らせてみて、Splunkに入れてログを確認してみます。ちなみにツール実行に際してシステム変更は行われないようです。そして終わるまで一時間くらい掛かるようです。。。
1.CHIRPのダウンロード:CISAのGithubにソースコードとコンパイル済実行ファイルがあります。コンパイル済実行ファイルをダウンロードし実行します。
Yaraルール以外、空です。まぁ、良いことなんですが、何も出なかったのでSIEMへの取り込みは不要でした。とりあえずYaraだけでも表示したつもりにでもなっときますか・・・
空振りしました。そんな嵐の日曜日。