🔗 https://blueteamlabs.online/home/investigation/patient-z-ero-b358d0acb9
シナリオ
都市の地下深くで、ゼータ-9コーポレーションの秘密の生物兵器プロジェクトは、爆発によって精神を変容させるウイルスが野外に放出されたことで壊滅的な失敗に終わった。同社はこれを「小規模な火災」として隠蔽したが、謎のハクティビスト集団から流出した内部ファイルは、封じ込めの失敗と研究の盗難という別の事実を明らかにした。現在、施設との連絡はすべて途絶えている。ゼータ-9のエリートCRISISユニットの一員として、あなたは侵入を調査するために現場に派遣される。
本ラボではGrayLogサーバーが
http://localhost:9000(認証情報:admin / password)で利用可能。設定ファイルは/home/ubuntu/Documents/backup/backup.confに配置されている。
Q1) What is the vendor of the Project Z firewall? (2 points)
設定ファイルを確認する。
cat /home/ubuntu/Documents/backup/backup.conf
内容がBase64エンコードされているためデコードしてから読み込む。
cat /home/ubuntu/Documents/backup/backup.conf | base64 -d
デコード後の設定内容から、FortiFirewallの文字列が取得できたため、Fortinetと推定。
Answer: Fortinet
Q2) What is the firmware version running on the firewall? (2 points)
Q1で確認した設定ファイルの内容から、ファームウェアのバージョンを確認する。 config-version=FFwVMw-7.0.14が確認できる。
Answer: 7.0.14
Q3) The firewall has an admin user. What is the username? (2 points)
同じ設定ファイル内で文字列"admin"を検索すると、super_admin 権限で定義されているアカウントが確認できた。
Answer: admin
Q4) Can you identify if there's a publicly disclosed vulnerability (CVE) that could compromise the edge device? (2 points)
設定ファイルの内容と照らし合わせると、「ファイアウォール管理インターフェースへの不正な管理者ログイン・新規アカウントの作成・SSL VPN認証・各種設定変更」といった挙動に合致するCVEを調査した。
該当するCVEは CVE-2024-55591 と判断した。(https://www.jpcert.or.jp/at/2025/at250003.html)
Answer: CVE-2024-55591
Q5) What is the IP address of the Project Z firewall? (2 points)
設定ファイル内の vdom "root" セクションにIPアドレスが記載されていた。
Answer: 38.68.134.215
Q6) The attacker tried to access the management console. What is the attacker's IP address? (2 points)
GrayLogにて、admin ユーザーでのログインに関するログを検索する。
確認した結果、グローバルIPかつ管理画面と思われる80番ポートへアクセスしているアドレスが1件見つかった。
Answer: 38.68.134.100
Q7) A VPN connection attempt was made. Which user successfully connected? (3 points)
GrayLogにてVPN接続成功に関するログを絞り込む。
message:vpn AND message:"tunnel up"
zeta_adm というユーザーがVPN接続していることを確認できた。
Answer: zeta_adm
Q8) A specific user successfully added a VPN connection. What is the name of that user? (3 points)
VPNユーザーの追加に関するログを検索する。まず new を含む語句で試したが結果が得られなかったため、add で再検索した。
message:add
zeta_adm がユーザー ghost を追加しているログが確認できた。
Answer: ghost
Q9) What was the source IP address used during the VPN connection? (2 points)
Q7のクエリで確認したVPN接続ログから、トンネルのIPアドレスが確認できる。
Answer: 10.1.1.10
Q10) Which internal Zeta-9 IP address was the attacker scanning? (2 points)
VPN接続に使用していたIPアドレス(10.1.1.10)での通信ログ全体を確認した。多数の内部IPに対してアクセスが行われており、GrayLogの検索サジェストから 192.168.86.4 が最も多くヒットし、次いで 192.168.86.3 が多いことが判明した。
最も多くアクセスされていた 192.168.86.4 を回答したところ正解だった。
Answer: 192.168.86.4
Q11) What port was the attacker primarily interested in discovering on the internal network? (3 points)
Q10と同様の手法で、GrayLogの検索サジェストからポート番号の分布を確認した。445番ポート(SMB)と389番ポート(LDAP)への通信が突出して多かった。
Answer: 445/389
まとめ
今回はFortinetのファイアウォール設定ファイルの解析とGrayLogを組み合わせた調査ラボだった。CVE-2024-55591を悪用した侵害の流れ——管理コンソールへの不正アクセス・VPNユーザー追加・内部ネットワークスキャン——を、ログから順序立てて追跡する実践的な経験ができた。GrayLogの検索サジェストが意外と有用で、多数のログから傾向を掴む際に役立つことが分かった。
