toto_1212

技術のログをツラツラ書きます。自分用ですが参考にしていただけたら嬉しいです。間違ってたらドンドン突っ込んでください。

【勉強会】#ssmjp 2015/03

3/27にラックさんで開催された#ssmjp 2015/03に参加してきたのでメモを書いておきます。ssmjp.connpass.com

勉強会を始める前にラックさんのセキュリティ監視センター「JSOC」(Japan Security
Operation Center)を見学させて頂きました。www.lac.co.jp

内部のことはセキュリティ上、書くことができませんが日本のセキュリティの中枢を見させて頂き
大変貴重な体験をさせて頂きました。ありがとうございました。

以下、メモです、、、
かなり大雑把なメモとなりますので、ご参加した方で違う箇所があれば突っ込みを入れて頂ければ
と思います。

@cloretsblackさん "中国のひみつ"(15分)

某ユーザー企業の情シス部門の国際インフラ担当者を10年くらいやっている。

中国の秘密を運用目線でお話したい
 ▶︎インターネットに載っていない「中国ってこんなとこ」を中心に紹介

個人的に中国大好き、でも変なところも沢山ある。
 ▶︎好きなんだけど如何な物かみたいなとこも多い。

中国の方は行動が早くて果敢いろんなことを試す。
 ▶︎インターネットやNWの世界でも雑なことをする。

・南北問題

internetcom.jp
中国には南北で2大プロバイダがある。
 ▶︎中国聯通(China Unicom) 華北
 ▶︎中国電信(China Telecom) 華南

南北が断裂気味で超える際のゲートウェイの通信が劣化する。
 ▶︎メールボックスが上海にあって、北京からアクセスするとうまくいない .etc

今は2つを結ぶ小さなプロバイダがたくさん出てきていて最近はこの問題が少なく
なってきている。2004年〜2010年くらいが酷かった。

・中華FW(金盾)

2006年くらいに話題
1つ画像取るのに10くらいRSTパケットを送る荒々しい動きするFW

RSTフラグはTCPコネクションを一撃で切断する破壊力
中国は通信事情が悪いためRST通信が末端まで届かないことを心配して10本送っていた。
 ▶︎通信を切る時にクライアントだけでなく、サーバ側にもリセットパケットを送り
  通信を残さないというやさしさが見える。

金盾はDNSポイズニングと併用
あらゆる通信を見るのは13億もいたら無理なのではないかと気づき始めた。
検索エンジン等制していて中国の意向に反する検索結果が出てこないようにしている。
 ▶︎昔は見えない画像とかは頑張れば見える。

通信を統制した上で商売している。
中国版●●(twitterとか)の海外パクリサービスを始めている。
13億の人間が利用するので商売が成り立ち、ヘルプとか漢字にさえすれば通じる部分も多い。
SNSを統制下において拡散を管理しているようにみえる。

・中国のDNS問題

DNSを荒く扱う。
 ▶︎きちんとしたプロバイダのDNSも異常な返しをしてくる。
  ・存在しないはずのAレコードが帰ってくる
  ・typo(例えば xxx.com1みたいな)するとインターネット上にホストはないけど
   Web検索するか?(自社の検索ページにリダイレクトする)

VPN規制

IPSecが遮断される
 UDP(500)ISAKMPは通る、AH、ESPが通らない。
  ▶︎SAは成立しているように見える
 何故ping通らない?と管理者が悩まされる

今までIPSecが通っていたのに、現地の営業が「無料で増幅します」の謳い文句で勝手に切り替え
てしまうことがある。
現地マネージャがだまされてしまうケースあり。

実際2拠点切られたことがあったが以下で回避。
OpenVPNの活用。(任意のUDPポートが使える)
ベトナム経由で日本へ。(中国のFWと逆側にあるのでは?)

VPN部分をSDN使って複数拠点のトンネルを切り替える。
 ▶︎中国 ー 日本 のインターネットVPN回線の通信品質を改善する
  北京オフィス ー 日本 インターネットVPNで結ぶ、間にFWがあってたまに落ちる。
  上海オフィス ー 日本 専用線で結ぶ
  上海オフィスを経由する形で2系統用意し、経路の状態を毎秒間隔で監視する。
  監視結果をデータとして持って10秒毎に評価し、その結果をSDNを使って経路処理
  している。

@ntsujiさん "おれはウソが大きれぇなんだ!〜辻伸弘が多発する改ざん事件を追う〜"(20分)

イスラム国と称する人たちの改ざんについてお話しする

・事件のあらまし

なぜだ?「イスラム国」が府中CFのHPをハッキング
※参考URL
なぜだ?「イスラム国」が府中FCのHPをハッキング
 ▶︎なぜだ?って誰に聞いてるんだww

結論:そこに脆弱性があったから。

記事の最後に、、、

ITジャーナリストの井上トシユキ氏は「考えられる理由は2つ。一つは単なる間違い。
もう一つは府中FCのライバルチームがイスラム国になりすまし、嫌がらせをした
ケースです」と推測。

・単純な間違い
 ▶︎アノニマスが霞ヶ関と霞ヶ浦間違えた的な
・なりすまし
 ▶︎そこまでやるの?

辻さん曰く”この事件は脆弱性があったからたまたまやられた事件である”

・調査と推論

改ざん事件を調べる手法
 ▶︎とりあえずドメインを検索して、キャッシュをみて脆弱性アプリがあるかないかを見る。

キャッシュが残っていない場合
WayBack Machineを使って過去のスナップショットを見てみる。
Internet Archive: Wayback Machine


zone-h(改ざん報告をするサイト)を見る
http://www.zone-h.org/
自分で改ざんして報告する人もいるし、改ざんされているサイトを見つけて誰かの
改ざんを報告するケースがある。なので、改ざん者=報告者ではない。
ハンドル名やjpに絞って検索する。

zone-hでIslamic StateというIDでドメインの中に.jpが含まれているものを検索
3/5で改ざんされている報告があった。
1250サイト以上見られた。
 ▶コレだけあると︎狙った訳ではなのでは?出来るところを改ざんしたのでは?

警察でも注意喚起があった
「Islamic State(ISIS)」と称する者によるウェブサイト改ざんに係る注意喚起について
http://www.npa.go.jp/cyberpolice/detect/pdf/20150312.pdf

「Islamic State (ISIS)」と称する者によるウェブサイト改ざんについて
http://www.npa.go.jp/keibi/biki/201503kaizan.pdf

中を見てみると使われた脆弱性に触れられている。(珍しい)
wordpressプラグイン「Fancybox for WordPress」の既知の脆弱性
使われた模様

3つの改ざんパターンがあった
改ざん後に表示されるwebページの見た目からパターン別に分けると、、、

1、ロゴマークタイプ
この改ざんをされた大都のキャッシュからソースコードを追った。
 ▶︎Fancybox3.0.1の記載があった
  エクスプロイトでの攻撃コードが簡単に手に入る場所にアップされていた(3.0.2)

2、テキストのみタイプ
zone-hで検索すると改ざん方法がアーカイブされている。
action=revsliderの記載がある
プラグイン「Slider Revolution」が使われていることが予想される
デフォルトのディレクトリ構造から予想でディレクトリをのぞいたら覗けた。
そのディレクトリ内のリリースノートでバージョンを確認
 ▶︎そのバージョンの脆弱性を利用

3、ハンドル名掲示タイプ
プラグイン「Slider Revolution」が使われており、その脆弱性を狙われた。
任意のファイルをダウンロードできる脆弱性を利用されている。

ファイルが「ダウンロードできる=読み出せる」の意味となるため、wp-config.php
見てDBのユーザーやパスワードを入手できる。

wordpressのスキンについてきてしまったりする。
 ▶︎気づかずにプラグインが入ってしまうことも。

パターン3つのまとめ
・攻撃手法は2つ
ISISとの関係性は不明
・ハンドル掲示タイプにはISISの文字すら無い

・念のため

ハンドル名掲示タイプパターンにfacebookのURLが書いてあった。
問いかけたら応答があり、一発目の発言から「どの脆弱性つかったの?」と質問
その問いかけに相手は「what's」と返答ww
その相手に質問し続けたところ、「どのサイトのこと?」と返答あり
zone-hのアーカイブを送ったら、「WebSliderを使った」と。。。
やはり、Slider Revolutionの脆弱性だったことが恐らく改ざん者から情報を得られた。

・さいごに

本件は色んなメディアで騒がれたがそんなに大したことではない。
使われたロゴがロゴなだけ。通常の改ざんと変わらない。

改ざん防止をするには、、、
まず、どんなアプリケーションを利用しているかを確認する
wordpresswp利用しているならプラグインも含めてを確認する

攻撃がそもそも可能かどうかを確認する。
ツールを利用する
WPscan(WPScan by the WPScan Team
 ▶︎Kali linuxhttps://www.kali.org/)に最初から入ってる。
  wordpressでどんなプラグイン使っているかが分かる。

CMSMap(CMSmap/README.md at master · Dionach/CMSmap · GitHub
 ▶︎wordpress脆弱性をスキャンできる

通例で●●Mapってソフトは危ない
 CMSMapはパスワードが当たってログインすると、勝手にバックドアがしかけられる。

狙われたから対策するというのはもうダメ、粛々と日比の対応をする。

【質問タイム】
テキストタイプで質問、ディレクトリリスティングしてまいたけどzone-hでやったのでしょうか?
 ▶︎zone-hでは出来ない。WayBack Machineでやった。
本番環境でディレクトリが見れちゃったとのことですがリスクはありませんか?
 ▶︎ありません。

@kitagawa_takujiさん "哀しみを知る人間こそ強者。哀しみを知らぬ人間に勝利は無い。piyologには載ってないSPE事件のドラゲナイ!!"(60分)

Sony Pictures Enterteinment への不正アクセス事件のお話

SPE事件について、まずはpiyologを見て下さい。d.hatena.ne.jp

会場アンケート
SPE事件の犯人は?
1.北朝鮮が犯人
2.北朝鮮は犯人ではない
3.どちらともいえない
 ▶︎3が大多数。

更にアンケート
1.どちらかというと北朝鮮が犯人
2.どちらかというと北朝鮮じゃない
 ▶︎ 2がちょっと多い

・事の始まり

 Redditに画像が投稿された。
 imgur(2chでも多く使われている画像アップローダ)に画像がアップされてそのリンクが
 Redditに貼られた。
 映画関連のツイッターアカウントが乗っ取られる。
 SPE社内のハードウェアの破壊があった。
  ▶︎壁紙を変更する
  ▶︎画像を表示する

Redditやimgurへは誰が投稿?

Redittに投稿されたメッセージを見ると、SPE元従業員からで「私の友人はこの画像を送って
くれた。全国のSPE端末にこれは表示されている」と。
PCが利用できない状態で、一般社員にここまでわかるのか?という疑問
PCが破壊されているのでスクリーンショットとか利用できないはず
スマホとかで撮影しても目立つだろう。

全国のSPEで起きているという事は、幹部や情シス部門しか情報を仕入れられないはず、
この地位の方達がわざわざ情報流出させるのか?
その意味は?

社員の誰かが画像をモザイク無しで投稿してくれるだろう。という期待
早くしないとデータのリンク先が削除されてしまう恐れがある。
既にリンク先が無くなっているものもある(twitterリンク先等)
自作自演の可能性が高いと思われる。

・GOP(ガーディアンズ・オブ・ピース)

Sony Pictures Entertainment hack - Wikipedia, the free encyclopedia
情報漏えいと思われるファイルとして「SPEData.zip」(システム破壊時に表示されていた表示に
URLリンクが貼られていた)内にreadme.txtがある。
readme.txt内に「データの欲しい人はタイトルに”to the guardian of peace”と書いてメールを
送れ」と記載があった。
なのでここからGOPというのはガーディアンズ・オブ・ピースというだろうという推察できる。
facebookのURLも書いてありそこにも”guardian of peace”と書いてあった

データの内容

 ▶︎list1.txt、list2.txt、readme.txt
  SPE内部で入手したファイル一覧(ファイル数は3,800,000)
  これはリストだけで情報漏えいは無い。

 ▶readme.txtに書かれていたメールアドレス
  2つのドメイン(サービス)が利用されている︎。
  ・yopmail.com
  登録不要、パスワード不要で使える。
  メールボックスは誰でも見れてしまう。
  メールは8日間しか保存されない。

  ・spambom.com
  discard.email
  上記と同様なサービス。
  メールを書くことできる。
   (1時間に15通しか出せない、スパムには使えない)
  サービスにはパスワード保護できるドメインもあるが、
  敢えてパスワード保護できない
  ドメインを使っている。

特徴は誰でもメール内容が見れて、誰でも返信が書ける。

記者とかが質問したり、自分のメールアドレスが書いてあったりと、、、
当然、質問やメールアドレは誰でも見えてしまう。
本物かどうかは分からないけど。

メールの返信があり、リプライはunseen.isというサービスを利用して返信された。
この返信自体が本物かどうか?
メールアドレスとシグニチャ欄にGod'sApstls(神の人)というメールこれは本物と思われている。d.hatena.ne.jp

データの拡散方法

メールにタイトルに”to the guardian of peace”と書いてきた人宛にBccで送られる。
その中にPastebin(Pastebin - Wikipedia)サイトへのURLリンクが
貼られている。
Githubも使われている
そのPastebinにダウンロードリンクが貼られている。
実際にダウンロードできれば、PSEの情報があれば本物である。

〜〜〜 略 〜〜〜

北朝鮮が犯人だとすると得をするのはだれか?

 ▶︎SONY
  内部犯行だとすると管理責任を問われるが、国家にやられたなら仕方ない
 ▶︎The Interview(ザ・インタビュー - Wikipedia)関係者
  抜群のプロモーション効果が期待できる
 ▶︎米国政府
  ※メモ取り忘れ
 ▶︎オバマ大統領
  強いリーダシップを発揮できた
 ▶︎セキュリティ業界
  他社製品やサービスの依頼向上
 ▶︎北朝鮮
  犯人であっても、なくても、ミサイル発射等を使わなくても脅威を高められた
  今後脅しに使える可能性あり
 ▶︎GOP
  このグループが北朝鮮であったとしても、目的が達成できた。
  仮に北朝鮮のグループでなかったとしても捜査の手が及ぶ事は無い

すべてが WIN WIN になる


      • -

中国の秘密、Islamic Stateと思われる団体の改ざん、SPE事件と濃い内容でお話をお伺いできました。
@kitagawa_takujiさんは体調が優れないなか、400ページを超えるスライドで丁寧にご説明
頂きました。情報量が多すぎてうまくメモを取れず途中は聞き入ってしまいました。

このようなセキュリティインシデント(事件)は表面では見えない事が多く、深くまで追っかける
事により真実と思えるものにぶつかるんだと思います。

今回の勉強会では追い方やどこまで追えば真実に近づくのかといくことが学べたように思います。

いくつか自分中で纏めたインシデントを再度掘り起こしてみようかと。

次回もささみはおもしろそうな勉強会を開催するそうです。ssmjp.connpass.com