//あとで書く

です・ます調が記事によって違ったりするブログ

セキュリティ・キャンプ in 福岡 2016 に参加してきた

はじめに
9月17〜19日にLINE Fukuoka株式会社で開催されたセキュリティキャンプ九州大会に参加してきた. 大会の概要や詳しい情報はこちらを参照して頂きたい. 今回の記事では講義で教わった技術的な内容について書いていきたい(とはいえ公開可能な部分のみではあるが)

1日目1講義目「セキュリティ・キャンプ九州 オープニング」
グループでチーム名,キャンプを通しての目標などを決めた.

1日目2講義目「機械学習とセキュリティ:特徴抽出講座」
攻撃*1機械学習で学習・検知するにあたって,「何を特徴とするか」という点についてグループで話し合った. 自分達のグループは,VBA/VBS型の悪性マクロ/スクリプトの特徴について考えた.結論として「コード中に通信(HTTP,FTP)やファイル操作を行うメソッド名」を特徴とする,という意見にまとまった.しかし,ファイル操作を行う正常なマクロ/スクリプトは存在するだろうし,難読化問題もあり,実際に実装するとすれば,まだ問題が沢山ありそうである.
ちなみに,攻撃の学習・検知のためのアルゴリズムサポートベクターマシンやランダムフォレストがよく用いられているらしい.とはいえ,どのアルゴリズムが良いという議論云々より,良質なデータの採取と検知したい物の性質を的確に把握することの方が大事らしい.自分は機械学習の専門家でも専攻する学生でもなく,不用意な知識をばら撒いてもいけないので,話はこれくらいにしておく.

興味を持った方は以下の文献を参照して頂きたい(講義で紹介されていたもの)
悪意を持った攻撃からウェブサイトを守るセキュリティ新技術
CiNii 論文 -  SVMを用いたWAFの検知機能の提案

1日目3,4講義目「情報セキュリティ技術者のための法律講座」
企業のWebサイトの情報流出問題について,模擬裁判を行った.私自身,法律に関する知識は本当に未熟で,上手く文章に書き起こせないので,この講義の内容を詳しく知りたい方は他の参加者のブログ記事を参照して頂きたい.下らない感想を言うと,講師の弁護士の方は会場の参加者や講師とはかなり雰囲気が違った.

2日目1,2講義目「Webプログラミング基礎講座」
この講義は午前の部と午後の部に分かれていた.

午前の講義
午前はローカル環境に存在する掲示板サイトから脆弱性を探す演習を行った.このWebサイト,実は意図的に大量の脆弱性が存在しており,Webセキュリティに詳しくない私でも簡単に脆弱性を発見することができた.私の発見した脆弱性は掲示板の検索フォームに存在したSQLインジェクションであり,union selectを使って,掲示板のユーザID/パスワードを表示させた.やはり,FiddlerやBurp Suiteが使えると調査が圧倒的に捗る.

午後の講義
午後はOWASP BWA*2を使った演習を行った.この演習では「検査の自動化」をテーマにしており,簡易診断スクリプトの作成を行った.このスクリプトはBeautiful Soup*3を使用しており,事前課題ではこのライブラリを使用して(必ずしも使用しなくても良いが),Webページのタイトルを表示するプログラムを作成した.以下にソースコードを示す.

gist.github.com 見てお分かりの通り,結構簡単にページの取得とHTMLの解析ができる.講義では,このライブラリを使用して自動ログインを行うプログラム(CSRFTokenありの場合 となしの場合)を書いた.Webセキュリティに詳しくない私が言うのも何だが,このOWASP BWAはかなり面白く勉強になるので,ぜひダウンロードして遊んでみて頂きたい.

2日目3講義目「いじって壊して遊んでハッカーになろう」
RaspberryPiを使った赤外線観測と操作を行った.流れとしては,赤外線リモコンを押して何らかの操作をした際に,RasPiのGPIOと接続している赤外線リモコン受信モジュール*4によって信号を観測するというものである.私の環境では残念ながら観測はできなかった.もしかすると,リモコン信号の学習の際に会場の他の信号が干渉したのかもしれない.モジュールとRasPiのイメージは貰ってきたので,自宅でもう一度再現しようと思っている.講師の先生曰く,この講義は本来であれば8時間近く掛けるべきものであるらしい.実際,今回の講義は2時間だったので8時間版も受けてみたい.

3日目1,2講義目「ハニーポットマルウェア解析講座」
午前はハニーポッド,午後はマルウェア解析に関する講義だった.

ハニーポットの講義
まず午前は実際に攻撃が観測されたマシン(ハニーポッド)にログインし,ログを通じて,攻撃者による実行したコマンドや変更箇所の確認を行った.調査の結果,今回の攻撃者はかなり意識が甘く,/home/攻撃者ユーザ名/.bash_history を削除していなかった.ここから,/var/tmp辺り(記憶が曖昧で申し訳ない)にRootKitを展開させ,実行させていることがわかった.大体の攻撃者は普通に一通りのログや侵入痕跡は削除するはずなので,今回のようにスムーズには解析できないと思うが,侵入解析の初歩を学ぶことができ,かなり良い経験になった.

マルウェアの講義
Windows7VM*5上で検体*6を動作させ,Process MonitorとProcess Exploerを使って検体の動作を観察した.ちなみにセキュリティキャンプ全国大会2016では,"動かしたら負け"の静的解析を行ったが,今回の講義はそれとは対照的に動的解析を行った.また,hybird-analysis・virus-total・malwrといったWebサイトを利用したオンラインスキャンも行い,グループで検体の特徴について話し合った.

ハニーポッド/マルウエア解析(というかディジタルフォレンジック全般)に言えることだが,解析の前にデータのバックアップを取ることやVMのスナップショットを作成することは必須といえる.
面白い講義であった分,自分の知識のなさを実感させられたので現在勉強中だが,以下の本が大変勉強になっており,とても面白い.
実践サイバーセキュリティモニタリング|コロナ社

その他
福岡には前泊で行ったが,もっと早くこれを見ておけばよかった.
明日から某キャン 九州なので博多駅の周りに住む僕がよく行くオススメの食事どころを紹介しておく - じゃあ、おうちで学べる

さいごに
今回のセキュリティ・キャンプ福岡大会開催にあたって,企画して下さった方,当日運営を進めて下さった方,講師・チュータ等,全ての方々に感謝申し上げます.本当にありがとうございました.