DARK MATTER

CDI Engineer's Technical Blog

Black Hat USA 2018 & DEF CON 26レポート(1)

Black Hat USA 2018 & DEF CON 26レポート(1)

こんにちは、情報分析部の中島です。

8/4~8/12に開催されたBlack Hat USA 2018 & DEF CON 26の参加レポートです。私は、インシデント対応やフォレンジック調査の中で、主にマルウェア解析を担当しています。そのため、マルウェア解析関連技術にフォーカスして参加しました。他の内容については、別のメンバーがブログにする予定ですのでご期待ください!

Black Hat Trainings

私は、FireEyeのFLAREチームが開催する「MALWARE ANALYSIS MASTER CLASS」を受講しました。

f:id:cdi-nakajima:20180829164646j:plain

トレーナーは、Practical Malware Analysisの筆者を含む、FLAREチームの3名でした。トレーニング形式は講義半分、演習半分という感じで、講義で学んだ内容を演習で手を動かして実践し、疑問があれば質問するという形式でした。

取り扱った内容は、

  • Malware Stealth
  • Shellcode
  • Anti-Disassembly
  • Scripting IDA Pro
  • Anti-VM
  • Packers
  • 64 Bits
  • Encryption, Encodeing, and Compression
  • Microsoft .NET

でした。

コースのSTUDENT REQUIREMENTSに Designed for the experienced malware analyst, a robust skill set in x86 architecture and the Windows APIs is essential. と記述されていたこともあり、基礎的な内容を飛ばして実践的な演習に取り組むことができ、満足度が高かったです。

講義の最後で、講師から「これはボーナスだからみんな写真撮って帰れよ~」的なセリフとともに教材フォルダのディレクトリリスティングと読めないように加工されたQRコードが表示されました。興奮したまますぐにホテルに戻り、QRコードを編集し読み込んだところ、釣り動画へのリンクでした\(^o^)/

講師側に釣られたと報告したところ、 lol, you'll have to keep an eye out for BH next year. current thinking is a doc and exploit analysis focus. and/or kernel/rootkit/bootkit analysis. とコメントを貰いました。

非常に充実した内容でしたので、来年のトレーニングも是非受けたいです。

Black Hat Briefings

Briefingsでは2日間で115件の発表があります。 同時並行数が多くなるため、見たい発表が被ることも多々あります。 Black Hatでは、公式サイトでプレゼンテーション資料が公開されているので、講演のまとめや見れなかった発表内容の確認などに役立ちます。

私が気になった発表をいくつか紹介します。

Title: "Finding Xori: Malware Analysis Triage with Automated Disassembly"
Speaker: Amanda Rousseau, Richard Seymour
Tracks: Reverse Engineering, Malware

発表者のAmanda Rousseau氏はmalwareunicorn.orgの人です。 既存のディスアセンブラには、大規模な解析に使えるディスアセンブラがないため、Rustで高速かつ自動化が容易なディスアセンブラを実装したという内容した。

コードはgithubで公開されています。

Title: "Decompiler Internals: Microcode"
Speaker: Ilfak Guilfanov
Tracks:  Reverse Engineering,  Malware

発表者はHex-RaysのCEOで世界中のリバースエンジニアが大好きIDA Proの開発者、Ilfak Guilfanov氏です。Hex-Rays DecompilerとDecompilerの内部で使用される中間言語であるマイクロコードの実装についての発表でした。

Title: "Windows Offender: Reverse Engineering Windows Defender's Antivirus Emulator"
Speaker: Alexei Bulazel
Tracks:  Reverse Engineering,  Malware

アンチウィルスバイナリエミュレータ(Windows Defender Antivirus)のリバースエンジニアリング結果とその方法に関する発表でした。アンチウィルスソフトの実装についてここまで細かく記載されている資料はみたことがなかったので非常に興味深かったです。

Title: "DeepLocker - Concealing Targeted Attacks with AI Locksmithing"
Speaker: Dhilung Kirat, Jiyong Jang, Marc Ph. Stoecklin
Tracks:  Malware,  Exploit Development

ディープラーニングを使った高度な標的型攻撃の手法のコンセプトを発表していました。ディープラーニングを使い、ビジュアル、オーディオ、環境情報、ユーザアクティビティなどを標的の識別に活用します。顔認証を使って本人を認識すると、ペイロードをデコードしてマルウェアに感染するデモがありました。DeepLockerは通常のエンコードと違い、デコードのためのキーがあるわけではないため、解析が非常に困難になります。

Black Hat その他

Arsenal

Arsenalでは、様々なオープンソースのセキュリティ関連のツールが発表されます。今回は私の所属するチーム、nao_secからEKTotalが出展していたため、見学兼お手伝いにいきました。

EKTotalは、ドライブバイダウンロード攻撃のトラフィックを自動的に解析できるツールです。EKの入り口サイトにアクセスしたときの、pcapかsazファイルをアップロードすることで使用されたExploit Kitの種類や脆弱性のCVE番号、マルウェアの抽出、抽出したマルウェアのVTの解析結果を確認することが可能です。

コードはgithubで公開されています。

f:id:cdi-nakajima:20180829164722j:plain

Business Hall

Business Hallでは、各企業がブースを出展しています。日本で開催されるカンファレンスや展示会では出展が見られない企業のデモや展示がありました。出展側もラフな格好ですし、ビールを無料で配布している企業もあって、日本とは雰囲気が違うなと感じました。おみやげにTシャツやステッカーもたくさんいただけました!気になればすぐに商談に移れるように、個室の商談ブースも用意されていました。

f:id:cdi-nakajima:20180829164809j:plain

DEF CON 26

Black Hatへの参加&飛行機の関係で、DEF CONは2日目のみ参加しました。DEF CONには様々なジャンルの出展があるのですが、弊社の若手エンジニアと他社の若手エンジニアでチームを組み、オンサイトで開催されるOpenCTFにほとんど参加していました。(この話は別の記事で)

CTF参加のため、あまり見学できなかったのですが、前から興味があったLockpicking villageを覗いてきました。Lockpicking villageでは、物理ロックのピッキングのデモンストレーションや体験コーナーがあり、参加者は物理ロックがどのように機能し、どのように危険にさらされるかを学ぶことができます。私もピッキングを体験し、物理セキュリティについて理解を深めることができました。簡単なロックだと専門知識をほとんど必要とせず、解錠できてしまうとは恐ろしいですね。

おわりに

Black HatのTrainingsからDEF CON2日目まで7日間毎日がエキサイティングな日々でした。普段はネット上でしか交流がない海外のエンジニアと直接会うことができよかったです。また、レベルの高い発表を聞くことでアウトプットへのモチベーションが上がりました。

DEF CONは1つ1つがとても濃く、一日だけでは回りきれなかったので参加する人は全日程参加することお勧めします。

セキュリティエンジニアなら誰しも憧れるハッカーの祭典、夏のラスベガスでの一週間でした。

株式会社サイバーディフェンス研究所 / Cyber Defense Institute Inc.