スキップしてメイン コンテンツに移動

第23回せきゅぽろに参加した

2016/03/05は第23回北海道セキュリティ勉強会が開催されたので参加してきた。 今回はツールを使って実際に動かしながらお話を聞くハンズオン形式だった。

Session1: フリーツールを使用したx86プログラムの解析

  • コンピュータの不正プログラムは攻撃者の意図がある
  • 不正プログラムを解析して、攻撃者の意図を探る
  • 攻撃者の視点で考える
  • 1からすべて解析するには時間がかかるため、ある程度あたりをつけて解析する
  • 表層解析:プログラムを実行せずに解析
  • 動的解析:実際に実行して解析、サンドボックスによる自動解析
  • 静的解析:逆アセンブルしてコードレベルで解析する、さまざまな知識が必要
  • 注目するWin32API関数
    • ファイル操作関連
    • 通信関連
    • サービス関連
    • レジストリ関連
  • 文字列にも注目(IPやURLなど)
  • 正常のプロセスのように見せかけて気づかれないように隠れる
  • LoadLibraryでDLLを読み込んでからAPIを使用する(wininet.dll→通信する機能)
  • GetProcAddressで読み込んだDLLの関数を取得
  • GetSystemTime、現在日時をみて動作するプログラム

お勧めの本

  • Practical Malware Analysis

感想

使用関数を隠すためにLoadLibraryでDLLを動的に読み込んいるらしいが、関数を取得するのに関数名が必要だからあまり隠れていないように思うのだが、何か別の方法があるのだろうか。

Session2: Volatility Frameworkを使ったメモリフォレンジックス

  • 正しい状態を知る
  • 通常のプロセスの数を知る(Service.exeはひとつでなければならないなど)
  • 正しい状態を知るにはSANSのページのポスターがお勧め
  • メモリフォレンジックス:メモリダンプの内容を解析して痕跡や攻撃手法を特定
  • 利点はディスクを見なくても痕跡を見る事ができる

メモリ解析の流れ

  • メモリダンプ取得
  • OSの特定
  • フォレンジックスフレームワークを使用して解析

Volatility Framework

  • オープンソース
  • Python実装
  • コマンドラインで解析
  • Windows、Linux、OS Xに対応

ハンズオン

  • -f <dumpfilename>: イメージファイルを指定する
  • -h: で使えるプラグイン一覧がわかる
  • imageingo: OSを特定
  • --profile=<osname>: 特定したOSを指定する(今回はWinXPSP2x86)
  • pstree: プロセスツリーを表示
  • connections: ネットワーク接続を表示
  • connscan: クローズしたネットワーク接続を表示、IPアドレスとプロセスIDが表示される
  • malfine -p --dump-dir=<dirname>: 指定PIDのダンプを指定したディレクトリに取り出す
  • mutantscan: Mutexの名称一覧を表示。二重起動を制御するためにMutexを使用、その際の文字列から攻撃者を知ることがある
  • printkey -K <keyname>: 指定したレジストリキーの内容を表示 "MicrosoftNT"を指定する事で、スタートアップの自動起動している実行ファイルを見つける事ができる

  • the Art of MEMORY FORENSICS

感想

メモリダンプでここまで調べられると面白い。ソフトウェアの不具合の調査にも使えるかもしれない

Session3: 北大キャンパスネットワークと私

感想

大学は企業とちがってセキュリティを意識する機会が少ないと想像している。



ラベル:

コメント

コメントを投稿

このブログの人気の投稿

VirtualBoxのUbuntu 18.04でNAT + ホストオンリーアダプター

VirtualBoxのVMにインストールしたUbuntu Server 18.04で、ネットワーク割当を「NAT」+「ホストオンリーアダプター」にする場合の設定についてメモ。 VMを作るとき、ゲストOSからインターネットに繋がって、かつホスト-ゲスト間でもつながる環境にしたいとき、VMのネットワーク割当は手っ取り早いのは「ブリッジアダプター」なんだけど、会社のネットワークでは都合がわるかったりするので「NAT」+「ホストオンリーアダプター」にしている。 アダプター1は「NAT」を選択 アダプター2は「ホストオンリーアダプター」を選択 ゲストOSであるUbuntuのネットワーク設定は、NATに該当するNICはDHPCで、ホストオンリーアダプターに該当するNICは固定IPとする。 Ubuntu 18.04ではネットワーク設定はNetplanで行う(Ubuntu 17.10から変わったようだ)。編集する設定ファイルは「/etc/netplan/50-cloud-init.yaml」 network: ethernets: {NATのNIC}: addresses: [] dhcp4: true optional: true {ホストオンリーアダプターのNIC}: addresses: [{固定IPアドレス}] dhcp4: no version: 2 ポイントは、ホストオンリーアダプターに該当するNICの固定アドレスを設定するときに、 ゲートウェイを設定しない こと。 以前に QiitaのVirtualBoxでNAT + Host-Only Network環境を構築する を参考にしていたのに、今回18.04で設定する際にすっかり忘れてはまってしまった。 IPアドレスは「192.168.0.2/24」のようにサブネットマスクも指定する。 NICに指定するデバイス名は以下コマンドで表示されるlogical nameが該当する。 > lshw -class network たいていは「enp0s3」「enp0s8」となるようだ。 設定ファイルを保存したら...
コメントを投稿
続きを読む

画像を切り取って保存する

画像処理において、画像の一部を切り出すことをトリミングというらしい。画像編集ソフトなんかにも大抵「トリミング」機能が実装されているだろう。 そんな画像を切り取る処理を.NETでやってみる。 .NETでは画像を扱う際にはBitmapクラスを使用する。BitmapクラスのCloneメソッドでサイズを指定すれば、そのサイズのBitmapオブジェクトができるので、それを保存すればよい。Cloneメソッドの引数はRectangle構造体とPixelFormat列挙体。 Rectangle構造体とは四角形の位置とサイズを表したもの。元画像の左上を(0, 0)として(X座標, Y座標, 幅, 高さ)の値でRectangle構造体を作成して渡す。PixelFormat列挙体はヘルプを見てもよくわからなかった。とりあえずは元画像の値をそのまま渡す。 例えば photo by tsukacyi のようなユッケの画像をトリミングするプログラムは以下のように書ける '元画像 Dim source As Bitmap source = New Bitmap("source.jpg") '切り取るサイズ Dim rect As Rectangle rect = New Rectangle(30, 80, 400, 320) '切り取り後の画像 Dim trimed As Bitmap trimed = source.Clone(rect, source.PixelFormat) '保存 trimed.Save("trimed.jpg") source.Dispose() trimed.Dispose() トリミング後の画像は以下の通り。
コメントを投稿
続きを読む

Microsoft.VisualBasic.dllを参照しない(その1)

VB.NETには、VB6に実装されていたCIntなどの型変換関数やLeft、Rightなどの文字列関数が使用できる。これらはMicrosoft.VisualBasic名前空間で定義されている。 個人的にはこれらはVB6との互換性の為に用意されたものと考えていて、あまり使用しないようにしている。名前付けのガイドラインにも沿っていないため、他の.NETなメソッドと並ぶと違和感があるというのもある。 注意:このエントリはVisual Basic 2005 Express Editionと.NET Framework2.0 SDK環境を元に書いています。 そんなわけでチーム開発の場合に、これら関数を使用しないよう、Microdoft.VisualBasic.dllを参照しないプロジェクトを作成しようと考えた。 Visual Studioのプロジェクトのプロパティから「参照」タブを開いてみると、すでに参照しているdllにMicrosoft.VisualBasic.dllが含まれていない。  下の一覧にImportされる名前空間が表示されているが、そこには含まれている。 Importされる名前空間からチェックをはずし以下のソースを書いてみる Public Class VisualBasicTest Public Shared Sub Main() Dim i As Integer = CInt("1991") System.Console.WriteLine(i) End Sub End Class だが、ビルドは通って実行もできてしまう。 逆アセンブリしてみる。 スタートメニューから「Microsoft .NET Framework SDK v2.0」→「Tools」→「MSIL 逆アセンブラ」を起動して、ビルドでできているexeを開く。すると、MANIFESTの部分を見てみると下記記述が見つかる。参照しているようだ。 .assembly extern Microsoft.VisualBasic { .publickeytoken = (B0 3F 5F 7F 11 D5 0A 3A ) .ver 8:0:0:0 } きっとVisual Studioが...
コメントを投稿
続きを読む