情報収集のコツ(随時更新)

情報収集のコツ(備忘録)

  • とりあえずググる
    • 必ずダブルクォーテーションでくくって検索する
      仮に間違えてC2通信先を入れてしまうとそのままC2サーバへアクセスしてしまうことがあるので要注意
    • 画像検索が活用できる場合もある

情報収集に役立つツール

  • PassiveTotal
    • 主に不審なドメインやIPアドレスの通信先の情報を元に、関連する情報(Whoisや証明書、関連URLなど)を結果表示してくれるサービス
  • VirusTotal
  • Twitter
    • Tweetdeckで情報収集
  • Google
    • 検索は必ずダブルクォーテーションでくくること

APTのリサーチ

キーワード

  • 国勢・歴史・思想
  • 政治・資源のニュース
  • 地政学
  • 第一列島線
  • HUMINT
  • VirusTotal
続きを読む

情報セキュリティガイドライン要点まとめ

情報システムのセキュリティ要件のポイントまとめ

  • オンライン手続きのリスク評価と主体認証方式の適切な選定

    • 前回のログインに関する情報を通知する機能
    • 不正にログインしようとする行為を検知又は防止する機能
    • 情報システムへのログイン時にメッセージを表示する機能
    • 管理者権限によるログインの際に個別の識別コードによりログインすることを併せて求める機能
  • パスワードの定期的な変更の是非とその効果に関してはしばしば検討する必要がある

    結局のところ、パスワードは当てられない程度に十分に長くするほかないのであり、その尺度には、例えば、「100 年以内に 1 回以上当てられる確率が0.0001%以下」といった基準が考えられ、これを満たす長さのパスワードを設定していれば、定期的に変更してもしなくても、当てられる確率はこれ以下に抑えられる。

    共通鍵暗号では、一般に、同じ鍵を繰り返し用いていると、その鍵で暗号化された暗号文を大量に得ることができれば、それを用いて鍵を推定できる確率が高まっていく性質があることから、鍵の定期的な変更が求められている。このことからの類推で、パスワードについても使用回数が増えるとパスワードの秘匿性が劣化すると考えてしまうとすれば、それは誤解である。

  • ACLの設定を適切に行う

続きを読む

CALDERAの環境構築とテスト

Notice
この記事はまだ編集中です。
記載の内容は十分な事実確認を実施していない場合があるためご注意ください。

環境構築

環境

1
2
3
4
5
6
7
8
OS:Ubuntu18.04(Chromeを利用するためGUI)
RAM:8GB
CPU:1コア(CALDERAの推奨は2コア以上)

その他:
- Python3.6以上
- PIP
- (pipenv)
続きを読む

CTFのための暗号技術

証明書関連

  • Certutil
    • マクロおよび証明書サービス関連の機能
  • WMIC
    • Windows の管理

      Windows の 2 つの正規コマンドラインツール「WMIC(wmic.exe)」および「CertUtil(certutil.exe)」を悪用し、感染 PC に不正なファイルをダウンロードするマルウェアが確認されました。WMIC はWindows の管理を担当し、CertUtil はマクロおよび証明書サービス関連の機能を担う正規ツールです。これらの正規ツールは、通常の機能の一部としてファイルのダウンロードに使用されるため、不正活動においても検出回避を目的としてよく利用されます。
      引用:Windows の正規機能 WMIC および CertUtil を利用しブラジルのユーザを狙うマルウェアを確認

その他

  • XOR暗号

参考リスト

Web

Blog

CTFのためのファイルエンコーディングとデコードについて

HEXエンコーディング

そもそもHEXエンコーディングって何ぞ?

文字はASCIIで表され、長さは1バイトですが、1バイトは16進形式で2桁で表すことができます。
たとえば、255は0xFFです。あなたがしなければならないことは、16進数から文字に変換し、文字列を構築することです。
引用:What is a string of hexadecimal digits?

BASEエンコーディング

BASEエンコーディングとは何ぞ?

  • データを64種類の印字可能な英数字のみを用いて表現するエンコーディング方式
  • 英数字以外扱うことの出来ない環境にてマルチバイト文字やバイナリデータを扱うために使用される
  • MIMEによって規定され、7ビットのデータしか扱うことの出来ない電子メールにて主に利用されている
  • BASEエンコーディングによって、データ量は約137%に増える

BASE64をデコードする

  • Ubuntuの場合
    “””
    base64 -d base64.txt > base64_decoded.txt
    “””

参考リスト

Web

Stack over Flow

Blog

CTFのためのYARA

YARAとは

YARAとは、マルウェアの研究者たちのために作られた、マルウェアを検知・解析・分類するための、オープンソースのプログラム(Pythonベース)です。
Windows/Linux/Mac OS Xと、幅広く対応しているマルチプラットフォームのツールで、『YARAルール』という文字列と条件、条件演算子、正規表現などを用いて、マルウェアのファミリーの記述を作成し、”yara”コマンドで
“””
yara [OPTION]… [RULEFILE]… FILE | PID
“””
とすることで、ルールに沿ってFILE or PIDからマルウェアを検出します。
引用: 「YARAルール」とClamAV

つまり??

  • ファイルやプロセスメモリのバイナリデータをスキャンし、そのスキャン結果を出力する
  • スキャンには正規表現や条件演算子を使用できる

参考リスト

Web

Blog

その他

CTFのためのバイナリ解析

Notice
この記事はまだ編集中です。
十分な事実検証を実施しておりませんので利用の際はご注意ください。

マルウェア解析の流れ

  • 検体が既知のマルウエアかどうかを判別する
    • データベース化された既知のマルウエアと検体の比較を高速に実行するため、マルウエア検体のハッシュ値が利用されるが、従来のハッシュ関数では、類似の検体は全く異なる検体として扱われる
    • そのため、fuzzy hash関数(ssdeep)や、PE(portable executable)のインポートテーブルから値を算出するimphash(import hash)が利用される
      関連:impfuzy
続きを読む

CTFのためのパケット解析

pcapファイルの解析手順

pcapファイルの解析手順

pcapファイル解析のコツ

  • パケット数が多い場合
    • WiresharkのStatistics機能で的を絞る
    • TCPストリームで、特定のTCPセッション情報のみ取得する
  • パケット数が少ない場合
    • TCPストリーム
      • Follow TCP ストリーム
    • 送受信データ
      • HTTP Export Object
      • Export Selected Packed Bytes
  • 暗号化されたPOSTデータから漏洩した情報を確認する
    • 暗号化の手法によって復号方法が変わる
続きを読む

ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)とは

Notice
この記事はまだ編集中です。
記載の内容は十分な事実確認を実施していない場合があるためご注意ください。

概要

  • デジタル世界の攻撃者が使用するさまざまな攻撃タイプの戦術、手法、および手順(TTP)を体系化し分類したプラットフォーム
  • 企業や組織が防御の弱点を特定するのに役立つ
  • ナレッジベースとフレームワークの両側面を持つ
  • 4半期に一度、公開情報や提供された情報から更新を行う
  • オープンソースのレポートに基づいて、既知の手法およびツールなど、数多くの攻撃者および攻撃グループに関する詳細情報を提供している
  • MITRE ATT&CKは、各ベンダの製品に対して点数によるランク付けを行い、単純な優劣を比較するためのものではない

攻撃の大きな流れを表現したサイバーキルチェーンをより詳細な方法論に整理しつつ、実際に駆使された具体的な攻撃テクニックまでしっかり結びつけることを意図して生み出されたものと言えます。
引用:https://www.socyeti.jp/posts/4873582

攻撃主体として「APT28」が、「Mimikatz」というソフトウェアを利用して、「Credential Dumping」というテクニックで、「Credential Access」を達成した、というような整理が可能になります。
引用:https://www.socyeti.jp/posts/4873582

続きを読む