読者です 読者をやめる 読者になる 読者になる

Twitterに書ききれないこと

イベントや技術的なことを記したい・・・

セキュリティキャンプ2015 見学まとめ

8/11~8/15まで行われたセキュリティキャンプを見学してきました。 インターン先が協賛企業ということで、主に講義などを見学することができました。 僕自身は2014年にセキュリティキャンプに応募しましたが、落選してしまったのでありがたい機会でした。

見学した講義についてのtwitterや公開資料・関連サイトのまとめです。 どこまで口外していいかわからないので、基本的に公開情報をまとめただけ・・・ 基本的には解析トラックを見学しました。マルウェア関連の講義があったため、検知トラックも少し見学しました。

以下公式サイトのトラック紹介から引用

解析トラック

【概要】 本トラックでは、様々な脆弱性や攻撃、マルウェアなどを解析、対策する手法を取り扱います。脆弱性はどこに存在するのか?攻撃者はどのようにそれを悪用するのか?アセンブリやデバッガ、OS、仮想マシンモニタといった切り口でこれらを明らかにし、新たな対策を生み出す知見の獲得を目指します。

検知トラック

【概要】 IT(ICT)の拡がりと浸透によって人間の活動の多くが情報化され、大量のデータが溢れる時代になっています。その大量のデータの中から何を異常として何を捕捉すればいいのか、検知・検出の技術はますますその社会的要請が高まってきています。Detectionではさまざまな場面での検知、検出を意識し、通信や仮想マシンの挙動、ハードディスクの中身、メモリ、そしてチップや家電の動きなどから異常や攻撃的な何かを捕捉することにフォーカスし、情報セキュリティへの多岐にわたる技術的要請を体感し、追求していくきっかけとなることを目指します。

 
見学した講義は以下のとおり

1-D Linuxにおける脆弱性攻撃とその対策

概要:基本的なメモリ破壊攻撃とその対策技術(SSP、ASLR、NX)について、実習を通じて理解を深めます。  

 

     
講師の稲積さんのBlog:ももいろテクノロジーで取り扱ってる内容を演習として行っていました。

この記事などが参考になりますね。

2・3-D 様々な脆弱性攻撃手法とその解析

概要:既存の脆弱性対策技術の適用範囲を学び、どういった状況でこれらが回避されるのか(ret2libc、ROPなど)について、実習を通じて学びます。

 

 

 
こちらも1-Dに引き続きももいろテクノロジーで扱っている内容の演習でした。

この記事などが参考になりますね。

講義内容の記事です。

inaz2.hatenablog.com

4・5-C 遠隔操作マルウェアの検知および検知回避

概要:はじめに遠隔操作マルウェアシミュレータであるShinoBOTを実際に操作し、どういうことが可能であるかを体験します。次にShinoBOTを観察したり、解析したりして、特徴を見つけ、Yaraシグネチャなどによる検知を試みます。最後に世の中で利用されている主な検知手法(ハッシュ、シグネチャ、IPドメインブラックリスト、振る舞い、ホワイトリスト)に触れ、攻撃者がどのようにして、それらをすり抜けるのかを学びます。  

 

 
 

ShinoBOTは以下のサイトで公開されています。
ShinoBOT -the rat/bot malware simulator-

講師の凌さんが書かれた記事や、Black Hatでの発表の様子が以下のサイトで読めます。 マルウェアの視点で見るサンドボックス:合法マルウェアで実感「リアルとサンドボックスの違い」 (1/3) - @IT

[Black Hat USA 2014 レポート] 標的型攻撃実証ツールをBlack Hat USA 2014で公開、マクニカネットワークス セキュリティ研究センター 凌研究員 | ScanNetSecurity (研修、セミナー・イベントのニュース)

@mrtc0さんが成果発表で発表したスライドが公開されています。

6-C ネットワーク通信から不審なものを見つけてみよう

概要:ネットワークの通信をキャプチャしたものの中から不審な通信を見つけてもらいます。色んなパソコンからの通信が行われる中、ウイルスに感染した通信をみつけたり、不正アクセスをしているものを見つけたりします。基本的にはSnortを使って実施するため、Snortの実行と簡単なシグネチャがかける事を参加条件とします。その他のツールを使うことは自由ですが、色んなアイデアで不審な通信を暴いていくことを目的とします。  

 

7・8・9-D 脆弱性攻撃と対策

概要:CVEにある実際に発見された脆弱性とそのExploitを試し、その動作原理を学びます。またそのような脆弱性からシステムを防御するためのツールやその仕組みを議論します。アセンブラがそこそこ読めること、デバッガを使えること、またCVEにあるいずれか1つ以上の脆弱性について試し、その動作を説明できるようになっておくことが望ましいです。連続講義ですが、途中からの参加、途中までの参加が可能です。  

 

 
昨年はキャンプ終了後に、愛甲さんの所属するFFRIの公式ブログで、キャンプまとめの記事が掲載されていました。 今年も掲載されるかも知れません。

 

10・13・14-D コードから読み解くマルウェアの真実

概要:マルウェアはどのようにシステムを操作し、その目的を達成しているのか?それが分かるようにならなければ有効なマルウェア対策は生まれません。この講義では、マルウェアの挙動を分析する手法全般について学ぶと共に、その中でも特に職人芸が必要とされる静的分析手法(逆アセンブル手法や逆コンパイル手法)について、具体的なマルウェアの実装を用いたハンズオン形式で深く学ぶことで、マルウェア対策に関わる人に必要不可欠な知識を身につけていただきます。その上で、これからのマルウェア分析・対策について考えていただきます。

各講義の内容は以下のとおりです。2、3講義目は連続した内容となります。

1講義目: マルウェア分析概論、静的分析基礎
2講義目: 実践マルウェア分析(前編)
3講義目: 実践マルウェア分析(後編)

 

 

 

 

 
この講義に関しては、内容を自由に公開してもらっていいとのことでした。
マルウェア解析の基礎講座とidb形式のファイルを使った演習を行っていました。

後日広報を通して講義資料を配布するとのことです。 配布されたらまとめ記事を書きたいと思います。

 

15・16-D 仮想化技術を用いたマルウェア解析

概要:仮想化技術を用いたサンドボックスの開発を通して,解析を妨害する機能を備えたマルウェアをいかにして解析するか学びます。また,テイント解析やシンボリック実行といった近年の研究動向についても紹介します。  

 

 
仮想化技術について、マルウェアのアンチデバッグ技術について講義をしたあと、DEACFを用いたマルウェア解析演習を行っていました。

以下で@ntddkさんが講義内容についての記事を書いています。 ntddk.github.io

CTF

セキュリティキャンプのCTFについては、writeupを別の記事にまとめています。

CTF for ビギナーズ 2015 幕張 in セキュリティ・キャンプ writeup [スポンサー] - Twitterに書ききれないこと

 
@_193sさんと@nomukenさんがセキュキャンの成果報告会で発表した資料も公開されています。

 
また作問者さんが一部問題を公開しています。