らんごすたのにっき

セキュリティ系のイベント等のブログです.気が向いた時にしか書きませんが...

NTT Communications 「攻撃分析ハッカソン ~いま,何が起きている?~」 参加記・感想

NTT Com「攻撃分析ハッカソン ~いま,何が起きている?~」とは

 「Tech Workshop "攻撃分析ハッカソン ~いま,何が起きている?~"は,各技術分野のプロフェッショナル社員がお届けする,当社の最先端技術を学ぶことのできるプログラムです.ハニーポットのデータやパケットキャプチャを分析して,攻撃を検知するための仕組み作りや攻撃の分析をハッカソン形式で行います.」みたいな感じです.

はじめに

 こんにちは,広島市立大学の情報セキュリティとかに興味のあるものです(もうそろそろ広島市立大学じゃなくなるけど...).今回は,NTT Communicationsの「攻撃分析ハッカソン ~いま、何が起きている?~」に参加して来たので参加記・感想を書いていきます.

午前【シグネチャ作成ハンズオン】

 実在するマルウェア(を模した)の通信のパケットキャプチャから特徴を抽出して,脅威を発見するIPS(Instruction Prevention System)シグネチャを作成してみようといった内容でした.ただ怪しい通信をdropするだけでなく,正常な通信はpassして,偽陽率(False Positive)と偽陰率(False Negative)をできるだけ下げるようなシグネチャを作成しなければなりません.

 使ったネットワーク侵入検知ツールはsuricataで,トラフィックを監視し,指定のルールセットに基づき不審なトラフィックを管理者に通知するというものです.

suricata-ids.org

 今回は,このツールに設定するSnortシグネチャファイル(.rules)を色々書き換えて,悪性な通信を適切に弾くようなシグネチャを探していくって感じでした.以下から,問題の概要等を述べてきます.

課題1 

 一つ目は,pcapファイルが3つあり,そのpcapファイルに共通するシグネチャ正規表現で書こう!って感じでした.3つのファイルに共通するのは,HTTPパケットのリクエストURL【GET /index.html HTTP/1.1の赤字のとこ】がランダムな長い文字でかつ最後に.jpeg, .gif, .bmpといった拡張子が付いていたことでした.なので,この共通点を正規表現におこしたら,ちゃんと動きました.

課題2

 二つ目は,pcapファイルが2つあり,まあできたらとても素晴らしいって感じでした().認証とかに使われるCookieや,アクセスしたブラウザの情報であるUser Agent等,色々検討してみても全然わからんでした.正解は,HTTPパケットのGETリクエストのすぐ次にCookieが書かれていることでした.HTTPパケットのGETリクエストのすぐ次にCookieが書かれていることは滅多になく,IPhoneの標準ブラウザのSafari等でたまに見られるらしいです(ブラウザの実装依存).後,Cookieの";"の次は一般にスペースがあるとかが考えられるらしいです.色々この辺も勉強したい。。

午後【ハニーポットのアクセスデータ分析ハッカソン

 ハニーポットとは,インターネット上の悪い活動を観測するシステムのことで,今回はそいつから吐かれるデータを各自自由に数時間で成果を出せるように分析してみよーって感じでした.各自分析内容を3分間発表するということでそれなりの成果を出さなければなりませんでした.

 与えられたデータは,日本とアメリカに設置しているハニーポットのデータ(2017年11月分)でした.以下は,そのパラメータとなっています.

  • 到達時間
  • ホスト
  • HTTPメソッド
  • 要求したURL
  • バージョン情報
  • 識別ID
  • パケット長
  • プロトコル
  • 送信元
  • 生存時間
  • 宛先ポート
  • コントロールフラグ
  • 送信元ポート

 1/27で同様のハッカソンに参加した某氏のブログ(http://balius-1064.hatenablog.com)を読んでて予習してたので,宛先ポート番号から色々情報を得られることはわかってましたが,これといっておもろいことも思い浮かばず,最初どないしよってなってました.パッと思いついたのが,おなじみのMiraiマルウェアは,基本的に23番ポートにパケットを投げ,10回に1回だけ2323番ポートにもパケットを投げる特徴があったので,これをハニポのデータから観測しようってことでした.結果は,こんな感じ↓.

f:id:o_hi_rangosta:20180210215841p:plain

f:id:o_hi_rangosta:20180210215853p:plain

 発表スライドそのままですが,アメリカは割と23番宛てと2323番宛ての比率が10:1でMiraiが活動してるって言えるような結果でした.一方で,日本は思った以上に比率が微妙な感じでなんでかなって色々調べたら,この時期はMirai亜種マルウェアが観測されている(IIJ Security Diary: 国内における Mirai 亜種の感染急増 (2017年11月の観測状況))ので,2323番ではなく,81番などが使用されたのかもしれません.

発表会&懇親会

 初っ端から,完成度高過ぎる発表で死んだなって思ってたけど,皆さん温かく発表を聞いてくださいました...終始楽しかったです.

 なんというか,参加者の方々がキャラが濃い感じがして大変面白かったです...(笑)

終わりに

 ほぼ初めてのインターンでしたが,自分が"やってみたかった!"と思っていたところを突くような内容ばかりでしたので本当に楽しかったです.また,当日参加していた方々,色々お話しできて楽しかったです.この場を借りてになりますが,僕が新幹線に遅れないように色々配慮してくださったNTT Comの皆様,大変感謝しておりますありがとうございました!
 またまたこの場を借りてになりますが,変換ケーブル何度もお貸しして下さりありがとうございました!!(はやくAmazonで買おう

セキュリティ・キャンプ 2017 全国大会 参加記・感想

セキュリティ・キャンプとは

 「セキュリティキャンプは、次代を担う日本発で世界に通用する若年層のセキュリティ人材を発掘・育成することを目的としています.」らしいです.

www.security-camp.org

f:id:o_hi_rangosta:20170820193932j:plain

はじめに

 はじめまして,広島市立大学の情報セキュリティとかに興味のあるものです.キャンプ参加者みんな書いている感じなので便乗して書こうと思った次第であります.初めてこういうの書くのでどういうテンションの文章で書けばいいのかわからないので手探り状態です.とはいえ,人に見られても恥ずかしくないくらいのクオリティは目指します.

会場

f:id:o_hi_rangosta:20170820193936j:plain

f:id:o_hi_rangosta:20170820193930j:plain

無駄にでかくて綺麗で凄かった(小並感

講義

 ここからは自分が受けた講義についての感想や概要について他のブログを参考にしつつ(パクリつつ)簡単に書いていきます.

B1.DoS攻撃FPGAを作ろう

 その名の通りパケット作ってドバーッとDoS攻撃する回路をいじって理解する講義でした.

 終わりの30分指定されたIPアドレスにみんなでDoS攻撃してWiresharkで見てみましょうとか割と緩い感じで楽しかった.

D2~3.カーネルエクスプロイトによる権限奪取

 最高に内容はおもろいけど,全然ついていけなかった講義でした.

 ROPの知識や,エクスプロイトコードってこうやって書くんすねって感じの雰囲気は得られたのでカーネルエクスプロイトを勉強するきっかけにはなったと思います.

B4.Embedded System Reverse Engineering 101

 半田付けしたり,Bus Pirateっていうツールを使ってROM内部のデータを抜いたりする講義でした.

 唯一自分がドヤ顔できた講義だったなぁ...内容簡単だったからだけど.

B5.信じて送り出した家庭用ルータがNetBSDにどハマりしてloginプロンプトを返してくるようになるわけがない

 VMNetBSDを動作させ,その上でRPiで動作させるカーネルをビルドする講義でした.

 クソ無能すぎてビルドまでいきませんでした.

A6.ハードウェアセキュリティ最前線

 前半は暗号理論の最先端の話を聞け,サイドチャネル攻撃の演習を行う授業でした.

 進学先の研究室の特任教授?だったので受けてみたらめちゃめちゃおもろかったです.オシロスコープ強い電通大の方がいなかったら死亡でしたけど...

B7.組込みリアルタイムOSとIoTシステム演習

 事前に配られたGR_PEACHっていうマイコンを乗せたロボットカーをWebから操作して最後は4グループに分かれてバトル!って感じの講義でした.

 同じチームの大学の後輩がARPスプーフィングしたり,他のチームがDoS攻撃行なっていたりして最終的にはロボットカーへの命令パケットがロスしてどのロボットカーも動かなくなったりしておもろかった.

グループワーク

 班員が有能で大変助かりました.クソオタク特有のノリとかもなく自分としてはすごく好きな感じでした.それなのに,くそみたいな発表して申し訳ない...学会発表が憂鬱でしかない.あと,セキュリティキャンプを下品なもので汚してしまったことは深く反省しております。。

全体的な感想

 キャンプが始まる前は,同じ研究室の集中コースYで参加するIさんと「事前課題やってなさ過ぎてキャンプ行きたくない」「セキュキャン憂鬱でしかない」「死にたい」とか言うくらい不安で行きたくありませんでした.それでもここまでやればまあいっかくらいまで事前課題を終わらせて東京に向かいました.セキュキャンが始まってしまえばもう休む暇など与えられず,挫折とか,自分の無能さとか,事前課題をしっかりやっとけばとか,色々味合わされて貴重な体験になったと思います.学校で特待生とかもらってる人たちはこういう外のイベントでボッコボコにされるのがいいと思いました.辛くはなりますが,やる気は出ると思います.

 BoFとか,協賛の企業のプレゼン,見学の企業の方との食事で色んな企業の話とかも聞けました.色んな企業に来年インターン行きたいですとか言って,セキュキャン2017のこと応募用紙に書いたら考えてあげるわみたいな反応もらったので自分としてはこういう点も良かったのかなとか思います.(インターン受かる保障はないけど...)

 あと,結構セキュキャンっぽくない(オシャレだったり,かっこよかったり,綺麗だったり)方が一定数いて半年前はくそ大学生みたいな見た目だった自分としてはちょっと嬉しかったです.セキュキャンは自分の技術力をひけらかしたいって感じの方も勿論いて刺激にはなりますが,そうでない方もいてセキュキャン参加前に楽しめるか不安だったけど総じて楽しかったです.春からNAIST奈良先端技術大学院大学)に進学予定で奈良に知ってる人も全然いない予定で不安でしたけど,NAIST周辺の大学からの参加者の方とお話しできたり帰り一緒だったりして早く広島市立大学を飛んでNAIST行きたい以外の感情がなくなりました.

 セキュキャンに参加して圧倒的に経験値が乏しい,技術力もない,井の中の蛙だったことが痛いほどわかりました.来年チューターとして参加できるような進捗を生成してやろうと今は思ってます.

最後に

 これを機に,SecHack365や,CTF for Beginners広島のことも書いていこうと思ってます.技術的なことも書きたい.