セキュリティ・コアキャンプ2017に参加しました

だいぶ時間が経ってしまったんですが、コアキャンプの参加報告です。

今年度から、セキュリティ・コアキャンプ 2017という企画が始まりました。

そこで2017年から圧倒的な成長の機会として「セキュリティ・コアキャンプ」を開催することになりました。

とあるように、セキュリティキャンプ2017の同じ会場で圧倒的成長のためのプログラムを受けるというわけです。新規の参加者向けとは違い、手取り足取り教えるのではなく「 背中をみて学べ 」という方針のプログラム構成になっています。最初は予定が合わないかと思っていたんですが、最終的に大丈夫になって急いで申し込みを書いたのですが、無事通過しました。

参加者

過去のセキュリティ・キャンプ全国大会修了生(以降、「キャンプ修了生」と略す)(*1)で、日本国内に居住する2018年3月31日時点において25歳以下の大学院生・学生・生徒
講義概要を読んで受講可能と自身で判断できるキャンプ修了生であれば誰でも参加可能(講義資料や参加者の技術的なサポートなどは必要最低限のみ)。

というのが応募資格でした。今回の参加者は定員10人に対して、4人だったので、結構条件が厳しかったのかもしれません。

今年度について言えば、「サポートなどは必要最低限のみ」と言っても尻込みするほど知識が要求されるものではないので来年以降もぜひ参加者が増えればなと思います。

中津留勇 マルウェア解析LIVE 2017 ~CAN’T STOP ANALYSIS~

午前の部中津留勇先生のディナーショーマルウェア解析を質問しつつ眺める会です。なかなかマルウェア解析の様子を見ることはできないので、ツール類を見せてもらえたのも含めて良い機会でした。軽くですがメモを残しておきます。

1.表層解析

macのVMWare上のWindowsがメインな動作環境となります。まずはfileコマンドやpythonで自作したツールでハッシュやパッカーの確認。自作ツールではerocarrera/pefileあたりを利用してリスト表示しているようでした。

2.実際に動かす

実際に動かして動作確認。process monitorやwiresharkなどでログを取り、関係していそうなプロセスだけフィルタします。そして、Noribenというツールでログを簡約化に変換して確認していました。 多分、これ→Rurik/Noriben

管理者権限だと動作が変わることもあるのでそれも確認します。マルウェアは自分を削除したりなんかの実行ファイルを作ったり消したりするのでそこらへんも重要。今回は停止してもすぐに復活するサービスが存在し、そのサービスがファイルをロックしていました。そのままではコピーできませんが、終了→復帰の一瞬の間に気合いでコピーするというテクニックが存在するらしい(謎)

3.静的解析と動的解析

マルウェアと思われるファイルをmac上のIDA Proにぶち込んで解析開始。ネットで拾ったり自作したスクリプトで様々な箇所を活用していらっしゃるそうです。

ollydbgで「Rundll32 dll名 関数名」で関数を実行し、シンボルの解決や解析妨害に対処するといったテクニックも見ることができました。

『日帰りバグハンター合宿』

誓約書を書いているので多くは語れません。公開情報から言える一般的な感想だけ。

実際に世の中で使われているWebアプリケーションを題材に、参加者+講師でひたすら脆弱性を見つける時間です。普段オープンには共有しづらい、脆弱性発見についての知識をオフラインで共有しあいましょう。モダンなWebアプリケーションフレームワークにより構築されたWebアプリケーションを扱う予定です。

以上がコアキャンプの募集ページに書いてある説明です。

実際にとある「実際に世の中で使われているWebアプリケーション」の脆弱性を各々が調べるといった感じでした。Kinugawaさん他の作業がスクリーンに映し出されるのをたまに眺めつつ、黙々とやってる感じです。

今回誓約書まで書いたのは脆弱性探しを行なったのが実際に動いているWebアプリケーションだからです。どこが提供元なのかも外部には秘密ということで、誓約書を書いていない人は部屋にも入室禁止です。というわけであんまり多くは語れませんが、実際の環境にSQLiのようなリクエストも含めて打ち込めるというのはなかなかないので楽しかったですし、参考になりました。Webアプリケーションの提供者には感謝です。時間についてはタイムスケジュールでは2時間になっていますが、ハッカソンにめり込んでもう少し長くやっていました。

ちなみに、解析に使うローカルプロキシにはBurp suite派とFiddler派がいるようです。皆さんはどっち派?(私はC#erとしてFiddlerを推していきたいですね・・・!)

『キャンプ講師になるためのコンテンツハッカソン』

ブレインストーミング形式(と言えばいいのかな?)で付箋に思いついた単語を書き出し、分類し、こんな講義があれば面白そうだよね。ということを参加者+講師の方々で話し合いました。出して見るとわかるのですが、やはりセキュリティという分野は幅広い。新しい技術の問題点を探して見るだとか、行動心理学や企業との連携はどうだろうなど、色々と上がりました。

そして、どうやらミニキャンプの方で講師をやることになりそうです・・・!

テーマにするつもりの内容は現状自分が興味を持っていることではあるのですが、まだ十分な確認ができていないことでもあります。自分一人では非常に不安なのですが、全国大会の講師陣の方他がサポートしてくださるようなので、しっかり準備して挑みたいと思います。その時にはまたお会いしましょう!

Webに書かれている工程後、他のセキュリティキャンプ参加者に混じって夕飯をいただき、企業プレゼンも見学してから帰還しました。

企業プレゼン曰く、その手の企業に入ると合法的にマルウェア解析や実働アプリケーションに攻撃検査や解析ができるのでオススメだそうです。

夕食時には近くにいた某社の方や、OSを書いている高校生などともお話できてよかったです。あと、チューターカラーのTシャツとシールもいただきました。 

まとめ

今回のコアキャンプは参加者よりも講師勢の方が多いという非常に重厚なサポート体制でした。内容に関しても高度な知識が要求されるとか、絶対講師にならなきゃいけないとかそういうことはありません。多分来年以降もコアキャンプはあると思うので、気軽に申し込んでほしいなと思います。

また、私が参加した全国大会から早1年、自分がどれぐらい成長してるかなと考える良い機会でもありました。進捗があるかというと微妙なのですが、自分のできることからコツコツとやっていきたいと思います。

あと、傘はきちんと持ち帰ろうな・・・!