HITCON Pacific 2018に参加してきました

こんにちは。情報分析部の橋本です。12/13、14の2日間、台湾の台北で開催されたHITCON Pacific 2018に参加してきました。

f:id:cdi-yhashimoto:20181221000022j:plain

f:id:cdi-yhashimoto:20181221001719j:plain

オープニング・基調講演・クロージングを除いて、最大3セッション同時進行で開催されるので、どれか1つを選んで参加することになります。

私もいくつか参加しましたが、本投稿ではその中の1つ、TABLE-TOP EXERCISESについてレポートします。

STRATEGIC TABLE-TOP EXERCISES: Why are they so important for national resilience?

概要

講師はチェコのNational Cyber and Information Security Agencyの二人です。インシデント発生時の準備としての机上訓練(TTX)の有用性についてと、実際に彼らが作成したシナリオにしたがってTTXを体験してみようというセッションでした。

内容は後述しますが、技術的というよりは、インシデント発生時の意思決定の仕方に重きが置かれている訓練だということ、また、講師が国家機関から来ている人なので、想定しているインシデントの内容が国家レベルであるということが、特徴として挙げられるかと思います。

他のセッションは1コマ分だったんですが、これは初日午後に2コマ分、2日目に5コマ分の結構ボリュームのあるセッションでした。

背景

TTXの世界では、以下の4つの国が登場し、TTX参加者は、下記のうちNicelandのJoint Task Forceのメンバーであるという想定で、インシデントハンドリングしていくことになります。

NiceLand
Sauronia
Nikkon
Bonoland

大きく分けて4つのインシデントがあり、さらにその1つ1つに複数の細かいインシデントが起こり、それぞれ発生した順に対応します。

実際の国をモデルにしているようで(TTXで発生するインシデントも)、各国の力関係やら発展してきた歴史やらの説明から、Sauroniaがあの国で、Nikkonがこの国で、というようなことがそこはかとなく感じ取れます。Sauroniaには、国家の支援が疑われるハッカー集団がいるそうです。

背景の説明は、初日の2コマ分の時間で行われました。途中ちょっとしたハプニングがありまして、スピーカーから突然恐らく他のセッションの音声が流れてきて、一時話が中断する場面がありました。講師は苦笑い。私は最初状況が呑み込めず、聴衆の中の誰かが、講師が話しているのをお構いなしに好き勝手質問を始めたのかと思いました。

なお、翌日のTTXに参加するには受付で事前登録が必要で、登録すると下の写真のような資料が貰えました。TTX開始までに目を通す必要があるとのことでした。

f:id:cdi-yhashimoto:20181221100435j:plain

f:id:cdi-yhashimoto:20181221100835j:plain

f:id:cdi-yhashimoto:20181221100604j:plain

f:id:cdi-yhashimoto:20181221100347j:plain

f:id:cdi-yhashimoto:20181221100932j:plain

TTX

ルール

前日の登録時に渡された資料が頭に入っている前提で、本番では、インシデントの内容が書かれた資料を読んで、設問に回答していくといった形式でした。 1チーム最大6人くらいのチームに分かれて、時系列で提示されるインシデントに対してどう対処するかチーム内で話し合って結論を出す、というのがTTXで行う内容です。

私のチームは4人編成で、私以外の3人は全員、名刺に載ってる会社の住所から判断する限り台湾の方たちでした。 TTXのルールは以下のような感じでした。

インシデントを記載した資料はGoogleフォームで提供される。
それぞれのインシデントに対してどう対応したかチームで1つの回答を出す。
回答もチーム内の1人がGoogleフォームで提出する。
発生したインシデントの時系列順に回答。A、Bというインシデントがあった場合、Bに対する設問に回答後、戻ってAの設問に回答というやり方は禁止。

上記に従い、各チーム内でディスカッションを通して、合意醸成を行います。

インシデント

TTXの世界では様々なインシデントが発生しました。

Nicelandで開催される国際的なスポーツイベントの公式サイトが改ざん
Nicelandの経済関連の省庁でマルウェア感染&情報流出
Nicelandの半導体の大企業でマルウェア感染&情報流出
Niceland北部で大地震発生。災害時に発報されるSMSを騙ったデマ情報が住民へ通知

大きいものを挙げると上記なのですが、それぞれに付随してこまごまインシデントが起こります。

資料には、単なる説明文だけではなく、当該イベントに関連する新聞記事だとか、ツイートだとかも載っていました。

f:id:cdi-yhashimoto:20181221164621p:plain

f:id:cdi-yhashimoto:20181221164604p:plain

f:id:cdi-yhashimoto:20181221164551p:plain

もちろんこれらはTTX用に準備した架空のものです。

レスポンス

冒頭で述べた通り、技術的というよりは、意思決定の仕方に重きがおかれた設問でした。

公式サイト改ざんの件だと、

「改ざん内容がSauroniaに対して差別的な内容だったので、Sauroniaに対してどの立場の人がどのような説明をするか」

とか、

省庁のマルウェア感染の件の場合、

「マルウェアを開いてしまった職員に処罰を与えるべきかどうか」、
「どの機関を通してマルウェア感染の事実を公表するべきか」

など。

講評

TTXの振り返りでした。出てきたインシデントをお浚いしながら、(元ネタ、というわけではないですが)現実世界で起こった類似のインシデントが紹介されました。

f:id:cdi-yhashimoto:20181221001122j:plain

f:id:cdi-yhashimoto:20181221001131j:plain

評価としては、クリエイティブでいい意味で面白い回答があり、全チーム「good job」だそうです。

感想

インシデントハンドリングの机上訓練は以前にやったことがあるのですが、このセッションでやったような国家レベルのインシデントを想定したものは初めてで新鮮でした。対外発表をどうするかとか、普段とは違う視点で答えを出さなければならなかったりと、現職で今後直接役立つかどうかはさておき、なかなか面白かったです。

おまけ

会場への道すがら撮った台湾らしい？写真です。あれだけの数の単車が横並びで事故らないんでしょうか。

2018-12-17

Black Hat Europe 2018 Arsenalで発表してきました

情報分析部の中島とアルバイトの野村です。

イギリス、ロンドンで12/3から12/6まで開催されていたBlack Hat Europe 2018のArsenalで発表してきました。

f:id:cdi-nakajima:20181217104704j:plain

Arsenalでは、発表者にブースが提供され、ツールのデモンストレーションを1時間30分程度実施します。 Briefingsとは異なり、公聴者と机を挟んでインタラクティブにやりとりをするため、ツールに対する要望や質問などのフィードバックを非常に多く受けることができました。

tknk_scanner

今回、我々は tknk_scanner というツールを開発し、発表しました。

f:id:cdi-nakajima:20181217104910j:plain

このツールは、マルウェアをアップロードすることで、そのアップロードしたファイルの表層解析情報とそのファミリ名を特定する情報を提供するツールです。概要をGithubから引用します。

Automatic identification and classification of malware
- Scan the original code of malware with yara.
Dumps original code of malware
- You can easily get the original code.
Community-based
- Integrates multiple Open Source Software and free tools
User-friendly Web-UI
- Users can submit malware and check scan results using the Web-UI.

f:id:cdi-nakajima:20181217104955p:plain

マルウェアはパックや難読化されているケースが多く、シンプルにファイルだけを見てファミリを特定することは難しいです。そこで、tknk_scannerはマルウェアが実行時にはアンパックされていることを想定し、実行時にメモリ上へ展開されるマルウェアのオリジナルコードをダンプします。ダンプには、OSSのhollows_hunterやフリーツールのprocdumpなどを利用しています。そして、ダンプ結果をyaraでスキャンすることで、そのファミリを特定することを目指します。また、VirusTotalなどのツールとも連携し、検体に関する情報を利用者に提供します

tknk_scannerのソースコードはnao_secのGitHub (https://github.com/nao-sec/tknk_scanner) で公開しています。

f:id:cdi-nakajima:20181217105130j:plain

おわりに

BlackHat Europeは身近に行ったことのある知人がおらず、規模感や雰囲気などが読めなかったですが、概ねAsiaとUSAの間くらいの規模感であると感じました。他のArsenalの発表では、Kubernetesのペネトレーションツールや、OSINTを支援するツールなどの近年の流行を意識した発表もあり、手法などの点から大きな学びを得ることができました。また、個人的に変わった発表として新しいSandboxサービスの発表もありました。Arsenalでは必ずしもツールがOSSである必要はなく、広く公開されるサービスでも大丈夫なようです。

BlackHatのArsenalは"動くもの"での発表が必須なため非常に具体性の高いものを知ることができます。今後もBlackHat Arsenalは注目していくべきイベントの一つと言えるでしょう。

f:id:cdi-nakajima:20181217105214j:plain (中央はnao_sec創設者です)

2018-11-20

ノベルティでいただいたUSBメモリのコントローラーICが非正規品だったお話

Embedded

こんにちは、技術部の手島です。

弊社のメンバーがいただいたノベルティのUSBメモリを解析してみたところ、面白いUSBメモリでしたので調査した結果を記載します。

f:id:cdi-teshima:20181119125810j:plain

f:id:cdi-teshima:20181119125816j:plain

結果から

内容はふつーのUSBメモリっぽい
パンフレットのPDFファイルが入っている
ただしUSBとフラッシュメモリを制御するICが非正規品
使われているフラッシュメモリも判明せず（怪しい）

USBフラッシュドライブコントローラーICの調査

まず、ラズパイに繋いでUSBベンダIDを取得しました。USB Vendor IDは0x058f, Product IDは0x6387でした。USB.orgによると、これは台湾のAlcor Micro社のFlash Driveだそうです。ここまでは問題ありません。

参考：http://www.linux-usb.org/usb.ids

このコントローラICの表面を見ると、型番は "Ango89GTC" らしいのですが、この広いインターネット上で型番が全く見当たりません。大抵の場合、検索方法を工夫することで、数世代前の型番や同じメーカーの別のIC製品がヒットするはずです。また、このICのパッケージ上にはAlcor社のメーカーロゴが見当たりません。

参考：Alcor Micro社 HP http://www.alcormicro.com/

このICにはAlcor社のロゴが見つからない

f:id:cdi-teshima:20181119140809j:plain