本文の内容は、2025年5月12日に Alex Lawrence が投稿したブログ(https://sysdig.com/blog/up-and-running-with-stratoshark-in-5-minutes/)を元に日本語に翻訳・再構成した内容となっております。
Stratosharkとは何ですか?
Stratosharkは、Wiresharkの創設者Gerald CombsとFalcoの開発者Loris Degioanniによって開発されたツールで、Wiresharkの高度なネットワーク可視化機能をFalcoエコシステムを通じてクラウドにもたらします。Stratosharkは、Wiresharkのパケット解析機能とFalcoのランタイムセキュリティを組み合わせることで、トラブルシューティングの迅速化、確信を持ったインシデント対応、そしてクラウドネイティブな柔軟性を実現します。ユーザーは、Wiresharkが25年以上にわたり提供してきた信頼の精度で、システムコール、クラウドログ、ネットワークパケットを分析することができます。
つまり、Wiresharkでパケット調査を行う方法を知っていれば、そのスキルをそのままシステムコールやクラウドログにも応用できるということです。
なぜ気にする必要があるのでしょうか?
Stratosharkは、クラウドネイティブ環境におけるフォレンジックと調査のための、Wiresharkに着想を得た新たな手法です。Wiresharkは、こうしたタスクを実行するための高度なワークフローを提供しており、多くのセキュリティ専門家がトレーニングを受け、日常業務で活用しています。Stratosharkを使用すれば、そのスキルセットを最新のデータソースや脅威に対して活用できます。せっかくのリソースとトレーニングを無駄にするのはもったいないでしょう。
Stratosharkは常に無料でご利用いただけます。私たちは、コミュニティの皆様に、現代社会で起こっていることに対処するための最高のツールをご利用いただきたいと考えています。
はい、わかりました。どうすればいいですか?
https://stratoshark.org にアクセスし、自分のオペレーティングシステムに対応したダウンロードリンクをクリックするだけです。Wiresharkと同様に、Stratosharkはローカルデバイス上で動作します。
今回は、macOS Arm版のディスクイメージをダウンロードします。ダウンロード中に、Stratosharkのホームページには動画や高度なユースケースなど、便利なリソースがいくつか掲載されているのが確認できます。
Macの場合は、ダウンロードしたdmgファイルを開き、StratosharkをApplicationsフォルダにドラッグ&ドロップするだけでインストールできます。
(Windows では実行可能なインストーラーが提供されます。手順に従ってください。)
繰り返しになりますが、Mac では、Stratoshark を初めて実行するときに「Open」をクリックして、インターネットからアプリケーションをダウンロードしたことを確認する必要があります。
Wireshark を使い慣れている方であれば、使い慣れたウィンドウが表示されているはずです。
ここから先はいくつかの選択肢があります。ローカルマシンからキャプチャを取得するためにChmodBPFをインストールする(実用的とは言えないかもしれませんが、試してみると面白いです)、cloudtrail用Falcoプラグインを使ってS3データを分析する、またはsshdigを使ってリモートキャプチャを実行する方法です。
今回は最後の選択肢を選びますが、AWS環境での変更に関する調査をcloudtrailプラグインで行う方法については、今後Sysdigブログで取り上げていく予定です。
sshdigを使用するには、リモートのエンドポイント上でシステムコールをキャプチャするための追加の準備が必要です。これはWiresharkがパケット収集にtcpdumpを必要とするのと同じで、sshdigもシステムコールをキャプチャするための何かをエンドポイントに必要とします。この場合、オープンソースのsysdigを使用します。
幸いなことに、今回はLinuxボックスからキャプチャするため、インストールは非常に簡単です。sysdigをインストールするには、対象ホストで次のコマンドを実行してください。
さあ、Linux ターゲットにログインしましょう:
sysdig をインストールします。
sysdigがインストールされ実行されていることを確認するには、次のコマンドを実行してcursesインターフェースを開きます。
sudo csysdig
おめでとうございます!sysdig がインストールされました。終了するには、Q を押してください。
Sysdig OSS で何ができるかについて詳しく知りたい場合は、Sysdig OSS の使用方法に関するこのブログをご覧ください。
さて、Stratoshark インターフェースに戻り、“SSH remote syscall capture: sshdig” をダブルクリックして、いくつかのプロンプトに入力します。
リモート アドレスとポートを指定します。
また、sudoアクセス権とパスワードを持つユーザーを用意する必要があります。このユーザーには、sudo実行時にパスワードを求められないよう設定しておくと便利です。これを有効にするには、USERNAME ALL=(ALL) NOPASSWD: ALL をsudoersファイルに追加します。
私の場合は、/etc/sudoers に次の行を末尾に追加しました:
stratoshark ALL=(ALL) NOPASSWD: ALL
sysdigが選択されていること、特権アクセスの方法としてsudoが設定されていることを確認してください。eBPFがチェックされていることを確認してください。
必要に応じてログ用のファイルを設定します。
ここまできたら、「Start!」をクリックするだけです。
重要な注意点:Macでは、Stratosharkを初めて起動する際に、セキュリティの警告が表示されて実行がブロックされることがあります。その場合は「許可」をクリックし、Stratosharkを再起動してください。
また、Stratosharkを閉じて再度開くと、キャプチャ設定のために再びパスワードを入力する必要があります。これを行うには、“SSH remote syscall capture: sshdig” の横にある歯車アイコンをクリックし、パスワードを再入力してください。
接続が確立され、キャプチャ データが表示され始めます。
ボーナスラウンド: 何かを調査しましょう!
Stratosharkでクリプトマイナーがどのように見えるか、見てみましょう!今回は説明のために意図的に表示させますが、実際の攻撃においてクラウドリソースを盗用してクリプトマイニングを行う事例は珍しくありません(たとえばSCARLETEEL攻撃では、クリプトマイナーが使用されました)。
このデモでは、まずUbuntuコンテナをデプロイし、その中でxmrigをダウンロード、実行します。その間、Stratosharkを使ってホスト上のシステムコールをキャプチャします。
ステップ1:コンテナをデプロイ!
※LinuxホストにDockerがインストールされていない場合は、こちらの手順をご参照ください。
以下のコマンドで、最新のUbuntuコンテナをデプロイしてアタッチします:
docker run -i --name ubuntu -t ubuntu:latest /bin/bash
動作していることを確認するために、簡単にアップデートしてみましょう。apt update を実行します。
素晴らしい!curl をインストールしましょう: apt install curl、次にyを押して続行します。
コンテナに curl が入ったので、xmrig を取得できます。
curl -OL https://github.com/xmrig/xmrig/releases/download/v6.16.4/xmrig-6.16.4-linux-static-x64.tar.gz
xmrig を抽出
tar -xvf xmrig-6.16.4-linux-static-x64.tar.gz
xmrig ディレクトリに変更します。
cd xmrig-6.16.4
これでクリプトマイニングを始める準備ができました!
Stratosharkインターフェースに戻りましょう。まだ閉じていない場合は、先ほど行ったテストキャプチャを閉じてください。
では、新しいキャプチャを開始しましょう。小さな歯車アイコンをクリックし、パスワードなどの項目が設定されていることを確認してから、start をクリックしてください。
キャプチャが実行されている状態で、ターミナルに戻り、先ほど変更した xmrig ディレクトリから次のコマンドを実行します。
timeout 30s ./xmrig -o stratum+tcp://xmr.pool.minergate.com:45700 -u [email protected] -p x -t 2
接続エラー、接続拒否が表示されるまで待ちます (ここでは実際にマイニングを行うわけではなく、単に少し楽しんでいるだけです)。
先に進み、Ctrl + C を押してクリプトマイナーを終了し、Stratoshark ウィンドウに切り替えて停止を押します。
これで、何か悪意のある動作が発生したことがわかっている大きなキャプチャファイルが手元にあります。ここで、Stratosharkのフィルター機能を初めて使って、xmrigプロセスから発生したすべてのイベントを確認してみましょう。
フィルターを適用するには、画面上部のフィルターバーに以下のように入力します:
proc.name == "xmrig"Code language: JavaScript (javascript)
Wiresharkに慣れている方なら、もうお馴染みの画面になっているはずです。イベント名や色分けなど、様々な情報が表示されます。一番上にはexecveイベントが表示されています。これはxmrigを実行した時のものです。
最初のイベントをハイライトすると、Stratosharkの真の威力が明らかになります。単一のプロセスに関するフォレンジックデータの量は驚異的です。Wiresharkのパケットと同様に、イベント自体に関する膨大なデータが得られます。
画面上部には、タイミングや長さなどの一般的なシステムイベント情報が表示されます。その下のセクションからが本番です。**「Sysdig Event」**の項目には、詳細な情報が表示されます。特に「parameter」セクションでは、実行ファイル名、渡されたすべての引数、PID、さらには env HOSTNAME(この例では a22456d7ae21)のようなコンテナIDなど、非常に有用な環境情報が確認できます。
さらに下にスクロールすると、**イベントやプロセスの詳細情報(プロセスの親子関係など)**が表示されます。今回の例では、コンテナ内の bash から timeout 30 で xmrig を実行しています。systemd が containerd ランタイムを起動し、そこから bash が起動され、最終的に timeout コマンドが実行されたことが追跡できます。
そのさらに下には、ユーザー情報やシェルデータ(今回の場合は root と bash)が表示されます。
ここで見ているすべてのデータは、コンテナ内で xmrig プロセスを起動した1回の execve イベントから取得されたものです!想像できるように、ホスト上で何か不審な動きがあると疑われる場合、詳しく調べたり証拠を収集したりするのに、Stratosharkは非常に強力なツールです。
ぜひ、このキャプチャデータを自由に探索して、さらに深い洞察を得てみてください。
次回のStratosharkシリーズでは、Stratosharkを使ってCloudtrailデータを取得し、クラウド構成の変更を調査する方法を取り上げますので、お楽しみに!
Stratosharkについてもっと学びたい方、話したい方、あるいは貢献したい方は、ぜひDiscordに参加して、今すぐコミュニティでの活動を始めてみてください!