ในวันพฤหัสบดีที่ผ่านมา (25 พ.ค. 2023) Splunk ประกาศการอัปเดตแพตซ์ด้านความปลอดภัยของ Splunk Enterprise เพื่อแก้ไขช่องโหว่ที่มีระดับความรุนแรงสูงหลายรายการ รวมถึงบางรายการที่มีผลกระทบต่อ third-party packages ที่ใช้ผลิตภัณฑ์นี้

ช่องโหว่ที่รุนแรงที่สุดคือ CVE-2023-32707 ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์ ทำให้ผู้ใช้งานที่มีสิทธิ์ต่ำที่มีความสามารถ 'edit_user' ยกระดับสิทธิ์เป็นผู้ดูแลระบบผ่าน web request ที่ถูกสร้างขึ้นโดยเฉพาะ

Splunk อธิบายว่า "สาเหตุเกิดขึ้นเนื่องจากความสามารถ 'edit_user' ไม่เป็นไปตามการตั้งค่า 'grantableRoles' ในไฟล์ configuration authorize.

นอกเหนือจากความพร้อมของข้อมูลที่จะถูกใช้เพื่อระบุหาการมีอยู่ของภัยคุกคาม ปัจจัยที่มีความสำคัญอีกปัจจัยหนึ่งซึ่งจะการันตีความสำเร็จของการระบุหาภัยคุกคามในรูปแบบของ Threat hunting นั้น คือการคิดค้นและพัฒนาสมมติฐานหรือไอเดียที่จะใช้ในการระบุการมีอยู่ของภัยคุกคามดังกล่าวในเชิงรุก (proactive) รวมไปถึงการประเมินและปรับปรุงให้สมมติฐานหรือ Hunting use case นั้นสามารถใช้งานได้จริงและเกิดประสิทธิภาพ

ในบทความนี้ทีมตอบสนองภัยคุกคาม (Intelligent Response) จาก บริษัท ไอ-ซีเคียว จำกัด จะมาสาธิตการพัฒนา Hunting use case บนเทคโนโลยีซึ่งเรามีความถนัด 2 เทคโนโลยี ได้แก่ CrowdStrike Falcon ซึ่งจะทำหน้าที่เป็นส่วน Endpoint detection and response (EDR) ในการเก็บข้อมูลจากระบบต่างๆ มาระบุหาการมีอยู่ของภัยคุกคามโดยใช้ Splunk Search Processing Language (SPL) กับฟีเจอร์ CrowdStrike Events App ซึ่งใช้ Splunk เป็นเทคโนโลยีหลังบ้านหลักครับ

สำหรับสถานการณ์จำลองที่ทีมตอบสนองภัยคุกคามจะสาธิตการทำ Threat hunting นั้น เราจะทำการพัฒนา SPL โดยนำแนวคิดมาจาก Hunting use case ซึ่งถูกเผยแพร่โดย Red Canary ในงาน BlackHat USA 2019 ภายใต้หัวข้อ Fantastic Red Team Attacks and How to Find Them
Fantastic Red Team Attacks and How to Find Them - A Summary
ก่อนที่เราจะไปดูกันที่ใจความสำคัญของบล็อกนี้ เราจำเป็นที่จะต้องเข้าใจเนื้อหาและเป้าหมายของหัวข้อการบรรยายจากทาง Red Canary ก่อน สำหรับการบรรยายในหัวข้อ Fantastic Red Team Attacks and How to Find Them นั้น Casey Smith ซึ่งปัจจุบันดำรงตำแหน่ง Director of applied research ของ Red Canary ได้มีการเปิดเผยเทคนิคการโจมตีใหม่ซึ่งใช้ไบนารี dbgsrv.