DARK MATTER

CDI Engineer's Technical Blog

HITCON Pacific 2018に参加してきました

こんにちは。情報分析部の橋本です。12/13、14の2日間、台湾の台北で開催されたHITCON Pacific 2018に参加してきました。

f:id:cdi-yhashimoto:20181221000022j:plainf:id:cdi-yhashimoto:20181221001719j:plain

オープニング・基調講演・クロージングを除いて、最大3セッション同時進行で開催されるので、どれか1つを選んで参加することになります。

私もいくつか参加しましたが、本投稿ではその中の1つ、TABLE-TOP EXERCISESについて レポートします。

STRATEGIC TABLE-TOP EXERCISES: Why are they so important for national resilience?

概要

講師はチェコのNational Cyber and Information Security Agencyの二人です。 インシデント発生時の準備としての机上訓練(TTX)の有用性についてと、実際に彼らが作成したシナリオにしたがってTTXを体験してみようというセッションでした。

内容は後述しますが、技術的というよりは、インシデント発生時の意思決定の仕方に重きが置かれている訓練だということ、また、講師が国家機関から来ている人なので、想定しているインシデントの内容が国家レベルであるということが、特徴として挙げられるかと思います。

他のセッションは1コマ分だったんですが、これは初日午後に2コマ分、2日目に5コマ分の結構ボリュームのあるセッションでした。

背景

TTXの世界では、以下の4つの国が登場し、TTX参加者は、下記のうちNicelandのJoint Task Forceのメンバーであるという想定で、インシデントハンドリングしていくことになります。

  • NiceLand
  • Sauronia
  • Nikkon
  • Bonoland

大きく分けて4つのインシデントがあり、さらにその1つ1つに複数の細かいインシデントが起こり、それぞれ発生した順に対応します。

実際の国をモデルにしているようで(TTXで発生するインシデントも)、各国の力関係やら発展してきた歴史やらの説明から、Sauroniaがあの国で、Nikkonがこの国で、というようなことがそこはかとなく感じ取れます。Sauroniaには、国家の支援が疑われるハッカー集団がいるそうです。

背景の説明は、初日の2コマ分の時間で行われました。途中ちょっとしたハプニングがありまして、スピーカーから突然恐らく他のセッションの音声が流れてきて、一時話が中断する場面がありました。講師は苦笑い。私は最初状況が呑み込めず、聴衆の中の誰かが、講師が話しているのをお構いなしに好き勝手質問を始めたのかと思いました。

なお、翌日のTTXに参加するには受付で事前登録が必要で、登録すると下の写真のような資料が貰えました。TTX開始までに目を通す必要があるとのことでした。

f:id:cdi-yhashimoto:20181221100435j:plainf:id:cdi-yhashimoto:20181221100835j:plainf:id:cdi-yhashimoto:20181221100604j:plain
f:id:cdi-yhashimoto:20181221100347j:plainf:id:cdi-yhashimoto:20181221100932j:plain

TTX

ルール

前日の登録時に渡された資料が頭に入っている前提で、本番では、インシデントの内容が書かれた資料を読んで、設問に回答していくといった形式でした。 1チーム最大6人くらいのチームに分かれて、時系列で提示されるインシデントに対してどう対処するかチーム内で話し合って結論を出す、というのがTTXで行う内容です。

私のチームは4人編成で、私以外の3人は全員、名刺に載ってる会社の住所から判断する限り台湾の方たちでした。 TTXのルールは以下のような感じでした。

  1. インシデントを記載した資料はGoogleフォームで提供される。
  2. それぞれのインシデントに対してどう対応したかチームで1つの回答を出す。
  3. 回答もチーム内の1人がGoogleフォームで提出する。
  4. 発生したインシデントの時系列順に回答。A、Bというインシデントがあった場合、Bに対する設問に回答後、戻ってAの設問に回答というやり方は禁止。

上記に従い、各チーム内でディスカッションを通して、合意醸成を行います。

インシデント

TTXの世界では様々なインシデントが発生しました。

  • Nicelandで開催される国際的なスポーツイベントの公式サイトが改ざん
  • Nicelandの経済関連の省庁でマルウェア感染&情報流出
  • Nicelandの半導体の大企業でマルウェア感染&情報流出
  • Niceland北部で大地震発生。災害時に発報されるSMSを騙ったデマ情報が住民へ通知

大きいものを挙げると上記なのですが、それぞれに付随してこまごまインシデントが起こります。

資料には、単なる説明文だけではなく、当該イベントに関連する新聞記事だとか、ツイートだとかも載っていました。

f:id:cdi-yhashimoto:20181221164621p:plainf:id:cdi-yhashimoto:20181221164604p:plainf:id:cdi-yhashimoto:20181221164551p:plain

もちろんこれらはTTX用に準備した架空のものです。

レスポンス

冒頭で述べた通り、技術的というよりは、意思決定の仕方に重きがおかれた設問でした。

公式サイト改ざんの件だと、

  • 「改ざん内容がSauroniaに対して差別的な内容だったので、Sauroniaに対してどの立場の人がどのような説明をするか」

とか、

省庁のマルウェア感染の件の場合、

  • 「マルウェアを開いてしまった職員に処罰を与えるべきかどうか」、
  • 「どの機関を通してマルウェア感染の事実を公表するべきか」

など。

講評

TTXの振り返りでした。出てきたインシデントをお浚いしながら、(元ネタ、というわけではないですが)現実世界で起こった類似のインシデントが紹介されました。

評価としては、クリエイティブでいい意味で面白い回答があり、全チーム「good job」だそうです。

感想

インシデントハンドリングの机上訓練は以前にやったことがあるのですが、このセッションでやったような国家レベルのインシデントを想定したものは初めてで新鮮でした。 対外発表をどうするかとか、普段とは違う視点で答えを出さなければならなかったりと、現職で今後直接役立つかどうかはさておき、なかなか面白かったです。

おまけ

会場への道すがら撮った台湾らしい?写真です。あれだけの数の単車が横並びで事故らないんでしょうか。

Black Hat Europe 2018 Arsenalで発表してきました

情報分析部の中島とアルバイトの野村です。

イギリス、ロンドンで12/3から12/6まで開催されていたBlack Hat Europe 2018のArsenalで発表してきました。

f:id:cdi-nakajima:20181217104704j:plain

Arsenalでは、発表者にブースが提供され、ツールのデモンストレーションを1時間30分程度実施します。 Briefingsとは異なり、公聴者と机を挟んでインタラクティブにやりとりをするため、ツールに対する要望や質問などのフィードバックを非常に多く受けることができました。

tknk_scanner

今回、我々は tknk_scanner というツールを開発し、発表しました。

f:id:cdi-nakajima:20181217104910j:plain

このツールは、マルウェアをアップロードすることで、そのアップロードしたファイルの表層解析情報とそのファミリ名を特定する情報を提供するツールです。 概要をGithubから引用します。

  • Automatic identification and classification of malware
    • Scan the original code of malware with yara.
  • Dumps original code of malware
    • You can easily get the original code.
  • Community-based
    • Integrates multiple Open Source Software and free tools
  • User-friendly Web-UI
    • Users can submit malware and check scan results using the Web-UI.

f:id:cdi-nakajima:20181217104955p:plain

マルウェアはパックや難読化されているケースが多く、シンプルにファイルだけを見てファミリを特定することは難しいです。 そこで、tknk_scannerはマルウェアが実行時にはアンパックされていることを想定し、実行時にメモリ上へ展開されるマルウェアのオリジナルコードをダンプします。ダンプには、OSSのhollows_hunterやフリーツールのprocdumpなどを利用しています。そして、ダンプ結果をyaraでスキャンすることで、そのファミリを特定することを目指します。 また、VirusTotalなどのツールとも連携し、検体に関する情報を利用者に提供します

tknk_scannerのソースコードはnao_secのGitHub (https://github.com/nao-sec/tknk_scanner) で公開しています。

f:id:cdi-nakajima:20181217105130j:plain

おわりに

BlackHat Europeは身近に行ったことのある知人がおらず、規模感や雰囲気などが読めなかったですが、概ねAsiaとUSAの間くらいの規模感であると感じました。 他のArsenalの発表では、Kubernetesのペネトレーションツールや、OSINTを支援するツールなどの近年の流行を意識した発表もあり、手法などの点から大きな学びを得ることができました。 また、個人的に変わった発表として新しいSandboxサービスの発表もありました。Arsenalでは必ずしもツールがOSSである必要はなく、広く公開されるサービスでも大丈夫なようです。

BlackHatのArsenalは"動くもの"での発表が必須なため非常に具体性の高いものを知ることができます。 今後もBlackHat Arsenalは注目していくべきイベントの一つと言えるでしょう。

f:id:cdi-nakajima:20181217105214j:plain (中央はnao_sec創設者です)

ノベルティでいただいたUSBメモリのコントローラーICが非正規品だったお話

こんにちは、技術部の手島です。

弊社のメンバーがいただいたノベルティのUSBメモリを解析してみたところ、面白いUSBメモリでしたので調査した結果を記載します。

 

f:id:cdi-teshima:20181119125810j:plain

 

f:id:cdi-teshima:20181119125816j:plain

結果から

  • 内容はふつーのUSBメモリっぽい
  • パンフレットのPDFファイルが入っている
  • ただしUSBとフラッシュメモリを制御するICが非正規品
  • 使われているフラッシュメモリも判明せず(怪しい)

 

USBフラッシュドライブコントローラーICの調査

まず、ラズパイに繋いでUSBベンダIDを取得しました。USB Vendor IDは0x058f, Product IDは0x6387でした。USB.orgによると、これは 台湾のAlcor Micro社のFlash Driveだそうです。ここまでは問題ありません。

参考:http://www.linux-usb.org/usb.ids

 

このコントローラICの表面を見ると、型番は "Ango89GTC" らしいのですが、この広いインターネット上で型番が全く見当たりません。大抵の場合、検索方法を工夫することで、数世代前の型番や同じメーカーの別のIC製品がヒットするはずです。また、このICのパッケージ上にはAlcor社のメーカーロゴが見当たりません。

 

参考:Alcor Micro社 HP http://www.alcormicro.com/

 

このICにはAlcor社のロゴが見つからない 

f:id:cdi-teshima:20181119140809j:plain

 

参考までに、同社の別製品ではメーカーロゴが印刷されています。

 

f:id:cdi-teshima:20181119141403j:plain

 

Picture From: https://www.alibaba.com/product-detail/AU6331-Alcor-Yasukuni-SSOP28-au6331-c33_60024253627.html

 

そこでAlcor社に問合せたところ、以下の返答をもらいました。

 

(訳)この型番のICはうちの製品ではない、もしうちの製品なら "Alcor" のロゴが印字されているはずだ

 

つまりこのICは、勝手に「私はAlcor社のデバイスでーす」と名乗っている非正規品だと判明しました。

 

フラッシュメモリを調査・・・したが特定できない

フラッシュメモリが実装されてると思われる部分に黒い樹脂があります。フラッシュメモリがどのような状態か、また型番を特定するため、黒い樹脂を取り除けないか試しましたが、300℃の加熱にも耐えてしまいます。除去するには高濃度の硝酸などが必要と思われますので、一旦調査を打ち切りました。

 

f:id:cdi-teshima:20181119144312j:plain

 

f:id:cdi-teshima:20181119144359j:plain

※バイスに挟まれた上部の物体は、今回の対象とは異なるUSBメモリです

 

このような実装を行う場合、以下のような可能性が考えられます。

 

  • パッケージ化コスト削減のためフラッシュメモリのダイを直接はんだづけ(削減できるのかな?)
  • 型番を見られたくないフラッシュメモリが載っている

 

具体的には・・・

 

  • B級品
  • リマーク品(勝手に大手ブランドのロゴを使う)
  • ジャンク品
  • 中古品から剥がした...等々

 

従って、もしも品質が劣悪な、不良セクタ率の高いフラッシュメモリが使われている場合、突然のデータ消失が起きうる可能性があり、このUSBメモリを重要なデータの保存に使うことはおすすめできないです。

 

おわりに

今回のICからはBadUSBのような挙動は見られませんでしたが、身近なところから得体の知れないICが出てきて驚きました、というお話でした。今回はできませんでしたが、USBストレージコントローラーICとフラッシュメモリ部を開封して顕微鏡写真を撮ると、流通経路や製造メーカーが判明するかもしれません。

 

それでは失礼します。

株式会社サイバーディフェンス研究所 / Cyber Defense Institute Inc.