2018 ソフトバンク・テクノロジーさんの5daysインターンシップ~マルウェア解析~
の時にメモとかしていた情報をそのままのっけます。MacDownでメモしてたので、見栄えが若干違うかも。。
ひとまずざっくり感想
5日間は長かったですが短かったようにも思えてけど疲れました。(どれ)
最初は知識だけ増えるかなと思って参加しましたが、収穫としてはチームでの作業の難しさがありました。チームでの開発とかではなく、企業への売り込みセールス提案をグループでハンズオン形式でやったのですが、意見をまとめる、そもそもスライドの流れを決める部分からゴタゴタの連続でした。ので、今回は技術・知識面よりも業務の部分の収穫が結局多かったのかなと思います。
あ、名刺作ります。てかもう帰ってきてすぐ発注しました。
メモ貼り付け
8/27 セキュリティビジネスについて ・マルウェア解析を始める前に ・セキュリティビジネスとは JNSA 国内情報セキュリティ市場区分調査報告 セキュリティツール セキュリティサービス セキュリティサービスプロバイダ LAC NRISECURE NTTDATA Infosec
マルウェア解析仕事 脆弱性診断サービス SOC インシデントレスポンス(IR)
CSIRT 発生したインシデントの対応する組織
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー8/27
マルウェア解析基礎 知識からツール
SOCでは表層解析と動的解析 表層解析ー>ファイル名ファイル種別ハッシュ値等の特徴をもとに顔の解析データを調査する。
マルウェア感染経路 メール、webのコンテンツに仕込まれたプログラムが勝手に侵入することによる、usb,cd等 ファイル形式- pdf,zip,excel,word 文章系のファイルが増えている
解析ツール システムロールバックツール-(スナップショットと同じ機能) 【RollBack Rx Home】
ファイル情報の収集(ファイルのハッシュ値) ダウンロードしたファイルと元のファイルの整合性をとる(例:ubuntu isoのダウンロードサイト等) Windowsのネイティブコマンド:【certutil -hashfile <ハッシュ> ファイル名】
【HYBRIDanalysis】:検体を入手する オンラインサンドボックス
ファイル識別のマジックナンバー(フォーマット識別子)→ヘッダファイルに乗ってるやつ バイナリを開く[Stirling] 【Office MalScanner】:コマンドから実行 officemalscanner <ファイル名> info :実行ファイルやシェルコードのパターンを検証 マクロをテキストエディタで開く: ポイント【shellという関数を使っている】
【FakeNet(管理者実行)】:オフラインにおいてネットワーク世界を偽装再現するためのツール。通信全部pcapで保存されている→wiresharkへ Dns設定を変更して、自分に送りつけるようになる→マルウェアを走らせて他のサイトへつなごうとするのをキャプチャする。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー8/27
情報セキュリティコンサルティングを知ろう 土屋幸三 30年やり続けるには自己学習の継続とディレクション能力が必要。これから必要とされる能力を先読みして自分で学習できる力 コンサルティング系->社内の管理者を指導する
情報セキュリティアセスメント 脅威・脆弱性・管理策(りすくを修正する策)
---------------------------------------------------------------8/28
続き 【マクロのデバッグ】 Excel->ファイル→オプション→リボンのユーザ設定→右側の開発をチェック ・ステップ実行[F8]で可能 [表示]→[ローカルウィンドウ] [表示]→[ウォッチウィンドウ] 見たい関数を右クリックー>[ウォッチ式の追加] 今回のテストだと、動的解析だけでは一つのサイトからのダウンロードしかブロックするという対処しかできなかった。 静的解析をすることで、サイトを2つ使用していることがわかった。 →動的解析で大まかな動きを見てみるアプローチは一つのやり方。
[windowsトラブルシューティングユーティリティ] Sysinternals suite Process explorer(Procexp.exe):windowsのプロセス系を調べる。実行中のプログラムの状態を調べることができる。タスクマネージャと違ってプロセスに関する様々な情報が調べられる。指定したウィンドウの持ち主がどのプロセスかを調べられる。 Process Monitor(Procmon.exe) :アプリケーションが開いているファイルやレジストリキーを特定する必要がある場合に使う。プロセスが行った処理 (ファイル システム、レジストリ、プロセスおよびスレッドの活動) をリアルタイムで表示するツールです。 Strings ファイルに埋め込まれた文字列の検索。(解読可能な文字列のみ抽出してくれる)
TCPView: 使用されているポートの状態をリアルタイムで見ることができる。そのまま、リアルタイム更新されるnetstatだと思えばよさそうです。 WireShark: パケットチャプチャ
------------------------------------8/28辻
ロジカルに人に伝える能力が大事 価値のある遠回りはどんどんする=経験が大事 セキュリティ 便利なものを可能な限り便利なまま危険性を可能な限り排除する仕組み 目的と目標は立場で異なる 顧客の目的:システムの安定稼働 顧客の目標1:事故を起こさない →安全をほどよく実現 そして、安心してもらう こういうことを伝えるー>伝わる話を
知っていると分かるは違う とできるは違う と伝えるは違う と伝わるは違う
-------------------------------------------8/28
1回目ハンズオン反省会
エグゼクティブサマリーもっと短く、3行ぐらいでよい。感染があった等 客は一番結果と何があったのかを知りたい。ー>業務をいかに止めないか。 情報漏洩はあったのか?対策はどうすればいいのか?を知りたい 今後が知りたいー>一度起こしてしまった。次は絶対起こしたくない。
今回 他に申告してない人もいるのではないか 隔離する お金払うという選択を出すのは面白い フォレンジックのためにシャットダウンを行わないで 対応策を一緒に議論しましょうとか、前向きな説明が欲しい
エグゼクティブサマリ-:偉い人向け、基本先頭に持ってくる。情報流出があったかどうかが知りたい。 【現在】拡散動作が見られないという、現在というワードの使い方。→時限式のものに対応できる書き方。 技術的な話は後ろでまとめて行う。 報告日 OO会社御中 関係者外秘 引用元が書いてあることが良いー>自分で調べたということになってしまう こういう動作がありますー>だからこういう課題がありますよという話に展開。
Pdfストリームダンパー pdfからファイルを抽出できる
表紙 目次 エクゼ部ティブサマリー 影響 復旧方法 技術説明
-------------------------------------------------8/29
サンドボックス FireEye
標的型攻撃→特定の組織に対して電子メール等を送って感染を狙う 仮想化技術
サンドボックス
保護された領域に入りウィルスが動作してもシステムに影響がないようにする。 VMWare等の仮想マシンもサンドボックスの一種.標的型攻撃は従来の手法では防げない。サンドボックス製品を利用することで未知の攻撃に対応可能
サンドボックス製品
- FireEye
- paloalto etc..
FireEye
ネットワーク対策(NX)
- NXは入口対策と出口対策を実施する
- 入り口→検知からブロック遮断等
- 出口対策->C&Cサーバへのアクセス遮断とう
メール対策EX
- 入り口対策.一旦ここを通してからメールサーバに送る。
- 電子メールの分析
- 動的分析
- 隔離
クラウド型メール対策(ETP)
- クラウドのメールサーバ用。EXよりは安い
分析専門(AX)
- SOC等が検体を入手して動かすよう
- 一般的な企業向けではない
- 実行結果や画面キャプチャ、プロセスがどういう処理を行ったかなど詳細に分析する。
FireEye AX使い方
パラメータ | 解説 |
---|---|
Live | ライブモード(実際のInternetへのアクセス) |
sandbox | 仮想インターネットへのアクセス| |
Profile | 分析に使用するOSのイメージ |
applications | 分析に使用するアプリケーションを選択(任意) |
Force | 過去に分析済みの検体でも分析する |
Enable VNC | 分析中の仮想OSにVNC接続してリモート操作する |
File/URL | 検体となるファイル/URLを指定 |
Password | 検体となるファイルにパスワードがある場合に指定(任意) |
Params | ファイル実行コマンドへ渡すパラメータ |
ハンズオン2
エグゼクティブサマリー、表紙、解決策紹介(製品紹介等)、解決策、顧客の課題、優位性(自社の強み、選んだ理由)
にゃんたくさん
@taku888infinity
socが監視している範囲。private soc psoc * 公開サーバ、車内環境の監視 * SIEM Alert 600/dayにログを絞る→1日1~3件 * 攻撃先のシステムは何か?外侮への通信はあるか?その他セキュリティ製品で検知あるか?
リサーチャー
- OSINT,HUMINT,SIGINT
- ついったーで見てる
見てるもの
- IPAの情報セキュリティページ
- JPSERT/CC
- US-CERT
- Security NEXT←ここが一番良い
大事なこと
- インシデント発生後のことを考える
- [事実]と[推測]を明確に
- 小さなことからアウトプットする
ラスト発表
Eチーム
- スライドの簡素化で見やすい
- エグゼクティブサマリーがまとまってない
- 会社の実績がわからない
Aチーム
- 弊社の強み、実績を紹介していたのが良い。
- 文字が多くてどれを選べるのかわからない。
Fチーム
- サポート、教育の期間がfireEyeを導入してる間としている。
- お互いの会社が近いということに触れていた。
- スライドを読む発表であった
Cチーム
- アジェンダが簡潔になっていて良い
- 弊社を選ぶ理由を述べている
- プランが一覧になっていて比べやすい
- プランの後に機器説明があり僕の理想の流れ
- 何が変わるかわからない
Dチーム
- 今後のスケジュールの提案があってよかった。
- 売りに行こうとしている商品紹介。
- Appendixが余計だったかも、今までFireEyeでよくまとまっていたので、ごちゃごちゃしてしまった。
Bチーム
- エグゼクティブサマリー:言いたいことが目立たない
- スライド抜け
- 相手会社をよいしょする。(優れた技術を持っている)
商品提案ハンズオン振り返り
- このグラフがどこに有効なのか、何の中の数字なのか。図を使ったらいうべき。
- セキュリティに弱い会社には選択させない。あらかじめ選んであげる。
- 他の製品と比べて(他社製品と比べて)、今回押す商品の強みとかを紹介するべき。単にこの商品を紹介するだけでは弱い。比較して強みを伝える。
- 製品の紹介を図によってリテラシーのない会社にも伝わるように。
- 導入しないとどうなるか?商品効果を説明する。
- お客さんは導入の時間、コスト、業務が止まるのかを気にするから触れてあげる。
- 自分たちがどういうメーカーなのか紹介スライドを最初に導入する。自社の強みうちはこういうことをしています、こういう実績があります、だからこういう強みがある→説得力が増す。
- 実際の事例がインパクトがある