らんごすたのにっき

セキュリティ系のイベント等のブログです.気が向いた時にしか書きませんが...

NTT Communications 「攻撃分析ハッカソン ~いま,何が起きている?~」 参加記・感想

NTT Com「攻撃分析ハッカソン ~いま,何が起きている?~」とは

 「Tech Workshop "攻撃分析ハッカソン ~いま,何が起きている?~"は,各技術分野のプロフェッショナル社員がお届けする,当社の最先端技術を学ぶことのできるプログラムです.ハニーポットのデータやパケットキャプチャを分析して,攻撃を検知するための仕組み作りや攻撃の分析をハッカソン形式で行います.」みたいな感じです.

はじめに

 こんにちは,広島市立大学の情報セキュリティとかに興味のあるものです(もうそろそろ広島市立大学じゃなくなるけど...).今回は,NTT Communicationsの「攻撃分析ハッカソン ~いま、何が起きている?~」に参加して来たので参加記・感想を書いていきます.

午前【シグネチャ作成ハンズオン】

 実在するマルウェア(を模した)の通信のパケットキャプチャから特徴を抽出して,脅威を発見するIPS(Instruction Prevention System)シグネチャを作成してみようといった内容でした.ただ怪しい通信をdropするだけでなく,正常な通信はpassして,偽陽率(False Positive)と偽陰率(False Negative)をできるだけ下げるようなシグネチャを作成しなければなりません.

 使ったネットワーク侵入検知ツールはsuricataで,トラフィックを監視し,指定のルールセットに基づき不審なトラフィックを管理者に通知するというものです.

suricata-ids.org

 今回は,このツールに設定するSnortシグネチャファイル(.rules)を色々書き換えて,悪性な通信を適切に弾くようなシグネチャを探していくって感じでした.以下から,問題の概要等を述べてきます.

課題1 

 一つ目は,pcapファイルが3つあり,そのpcapファイルに共通するシグネチャ正規表現で書こう!って感じでした.3つのファイルに共通するのは,HTTPパケットのリクエストURL【GET /index.html HTTP/1.1の赤字のとこ】がランダムな長い文字でかつ最後に.jpeg, .gif, .bmpといった拡張子が付いていたことでした.なので,この共通点を正規表現におこしたら,ちゃんと動きました.

課題2

 二つ目は,pcapファイルが2つあり,まあできたらとても素晴らしいって感じでした().認証とかに使われるCookieや,アクセスしたブラウザの情報であるUser Agent等,色々検討してみても全然わからんでした.正解は,HTTPパケットのGETリクエストのすぐ次にCookieが書かれていることでした.HTTPパケットのGETリクエストのすぐ次にCookieが書かれていることは滅多になく,IPhoneの標準ブラウザのSafari等でたまに見られるらしいです(ブラウザの実装依存).後,Cookieの";"の次は一般にスペースがあるとかが考えられるらしいです.色々この辺も勉強したい。。

午後【ハニーポットのアクセスデータ分析ハッカソン

 ハニーポットとは,インターネット上の悪い活動を観測するシステムのことで,今回はそいつから吐かれるデータを各自自由に数時間で成果を出せるように分析してみよーって感じでした.各自分析内容を3分間発表するということでそれなりの成果を出さなければなりませんでした.

 与えられたデータは,日本とアメリカに設置しているハニーポットのデータ(2017年11月分)でした.以下は,そのパラメータとなっています.

  • 到達時間
  • ホスト
  • HTTPメソッド
  • 要求したURL
  • バージョン情報
  • 識別ID
  • パケット長
  • プロトコル
  • 送信元
  • 生存時間
  • 宛先ポート
  • コントロールフラグ
  • 送信元ポート

 1/27で同様のハッカソンに参加した某氏のブログ(http://balius-1064.hatenablog.com)を読んでて予習してたので,宛先ポート番号から色々情報を得られることはわかってましたが,これといっておもろいことも思い浮かばず,最初どないしよってなってました.パッと思いついたのが,おなじみのMiraiマルウェアは,基本的に23番ポートにパケットを投げ,10回に1回だけ2323番ポートにもパケットを投げる特徴があったので,これをハニポのデータから観測しようってことでした.結果は,こんな感じ↓.

f:id:o_hi_rangosta:20180210215841p:plain

f:id:o_hi_rangosta:20180210215853p:plain

 発表スライドそのままですが,アメリカは割と23番宛てと2323番宛ての比率が10:1でMiraiが活動してるって言えるような結果でした.一方で,日本は思った以上に比率が微妙な感じでなんでかなって色々調べたら,この時期はMirai亜種マルウェアが観測されている(IIJ Security Diary: 国内における Mirai 亜種の感染急増 (2017年11月の観測状況))ので,2323番ではなく,81番などが使用されたのかもしれません.

発表会&懇親会

 初っ端から,完成度高過ぎる発表で死んだなって思ってたけど,皆さん温かく発表を聞いてくださいました...終始楽しかったです.

 なんというか,参加者の方々がキャラが濃い感じがして大変面白かったです...(笑)

終わりに

 ほぼ初めてのインターンでしたが,自分が"やってみたかった!"と思っていたところを突くような内容ばかりでしたので本当に楽しかったです.また,当日参加していた方々,色々お話しできて楽しかったです.この場を借りてになりますが,僕が新幹線に遅れないように色々配慮してくださったNTT Comの皆様,大変感謝しておりますありがとうございました!
 またまたこの場を借りてになりますが,変換ケーブル何度もお貸しして下さりありがとうございました!!(はやくAmazonで買おう