#include <sys/socket.h>

あとで書く Twitter:@sys_socket

Digital Forensic Challenge #1 - Web Server Case Write up

Forensics

本投稿の内容に間違いや問題などありましたら,Twitter経由などでやんわり優しめに教えて頂ければ幸いです.(Twitter:@sys_socket)

はい.

https://www.ashemery.com/dfir.html のChallenge #1

参考:

Between Two DFIRns: Ashemery.com: Challenge #1 - Web Server Case Write-up

問題文

A company’s web server has been breached through their website. Our team arrived just in time to take a forensic image of the running system and its memory for further analysis. The files can be found below:

1. System Image
2. System Memory
3. Hashes:
4. Passwords

To successfully solve this challenge, a report with answers to the tasks below is required:

1.  What type of attacks has been performed on the box?
2.  How many users has the attacker(s) added to the box, and how were they added?
3.  What leftovers (files, tools, info, etc) did the attacker(s) leave behind? (assume our team arrived in time and the attacker(s) couldn’t clean and cover their tracks)
4.  What software has been installed on the box, and were they installed by the attacker(s) or not?
5.  Using memory forensics, can you identify the type of shellcode used?
6.  What is the timeline analysis for all events that happened on the box?
7.  What is your hypothesis for the case, and what is your approach in solving it?
8.  Is there anything else you would like to add?

**Bonus Question:** what are the directories and files, that have been added by the attacker(s)? List all with proof.  
**Important Note:** do not use commercial tools for your own learning benefit.

稼働していたWebサービスのシステムディスクのイメージと,システムのメモリから侵害の様子を調査する.

調査する際に以下の項目を答えなけらばならない.

  1. どのような攻撃が行われたか?
  2. 追加された攻撃者のユーザ数と,そのユーザがどのように追加されたのか?
  3. 攻撃者が残したファイル,ツール,情報
  4. 攻撃者によってインストールされたソフトウェア
  5. メモリダンプから使用したシェルコードの種類の特定
  6. 発生したインシデントのタイムライン
  7. このインシデントの仮説とそのアプローチ
  8. その他追加
続きを読む

ハニーポットCowrieを設置した話

Security Honeypot

はい.

本投稿の内容に間違いや問題などありましたら,Twitter経由などでやんわり優しめに教えて頂ければ幸いです.(Twitter:@sys_socket)

Cowrieとは

GitHub - micheloosterhof/cowrie: Cowrie SSH/Telnet Honeypot

Cowrie is a medium interaction SSH and Telnet honeypot designed to log brute force attacks and the shell interaction performed by the attacker. Cowrie is developed by Michel Oosterhof.

攻撃者のブルートフォース攻撃とシェルの対話を記録するように設計された対話型SSH/Telnetハニーポットです.

続きを読む

セキュリティ・キャンプ全国大会2016に参加した話

event Security

www.ipa.go.jp

表題の通り,セキュリティ・キャンプ2016全国大会に参加していました.
8/9~8/13の4泊5日です.
めちゃくちゃ濃い5日間ですごい楽しく過ごせて,関係者の皆様本当にありがとうございました.
行く前は4泊5日って長いなぁ生きて帰れるかなぁと思ってたんですが,振り返ると一瞬で終わった感じでした.

受講した講義

  • 1,2-F:作って学ぶ低レイヤーネットワーク
  • 3-D:The OOM CTF
  • 4-A:クラウドセキュリティ基礎
  • 5-D:みんなでクールなROPガジェットを探そうぜ
  • 6,7-F:なぜマルウェア解析は自動化できないのか

とりあえず普段とはしたことのないことをやりたいなぁと思い欲望の赴くままに受講する講義を決めたら,こんな感じになりました.
講義内容の感想などは下で.

やたら長いポエムになりました.よろしければ.

続きを読む

PythonでSeleniumを使ってagqrの登録を自動化する

Python Others

JOQR 超!A&G+でよく声優さんのラジオを聴いたり見たりしています.
超!A&G | 文化放送

僕は『洲崎西』と『西明日香のデリケートゾーン!』が好きで基本毎週視聴しているんですが,前々からこの超!A&G+で気になってたことがあって,プレイヤーの画面に行くとこのような登録画面が出て視聴するのが初めてじゃないのに登録を迫られることです.
f:id:sockets:20160410200116p:plain

続きを読む

SANS Netwars Tournament 2015に参加した話

event Security

http://www.nri-secure.co.jp/event/2015/netwars.html

8/22,23と大手町サンケイプラザで開催されてたSANS Netwars Tournament 2015に参加してきた.
1日目のセキュリティトレーニングの内容や,2日目のCTFの問題は公開NGとのことで感想だけ.

2日とも開始時間が9:30で,大手町から遠い場に住んでいる私は早朝に起きて向かうという感じだった.
夏休みに入って生活リズムが無茶苦茶になっている中,早寝早起きをするのがなかなかに険しかった.

1日目,プロの方が受けるようなトレーニングを無料で受けることが出来て本当に良かった.
やはり自分の根底にある基礎的な知識不足が非常にマズイというのがよく分かったので精進していきたい.

 

2日目のCTFは案の定,スコアボードのトップに乗らないくらいに下の方をウロウロしてた.
Lv2の時点でなかなか自分には厳しい感じになったりしてた.
今までやったCTFとはちょっと違う感じだったが,こういうCTFの方が個人的に好きな気がした.

全て英語(同時翻訳アリ)だったので,英語苦手マンの私はテキスト読むのにもなかなか時間掛かったりしてた.
今回,同時翻訳というのをはじめて身近で体験したのですが,あれ本当に凄いですね.感動した.
某教授も仰ってた通りに英語も頑張って行きたい感じです.

とても有意義な2日間でした.
また次回開催される事があるならば応募して是非とも参加したいです.

CTF for ビギナーズ2015 博多(Attack & Defense)に参加した話

CTF event

2015-06-07,富士通株式会社 九州支社で開催されたCTF for ビギナーズ2015 博多(Attack & Defense)に参加してきました.attack-and-defense.doorkeeper.jp

今回のこのイベントで初めて福岡に行きました.博多の明太子や博多ラーメン,もつ鍋がとても美味しかったのでサイコーという感じ.

続きを読む

MINI Hardening Project #1.1 に参加した話

Security event

5月は毎週末にIT関連のイベントに参加してたが,全然まとめていなかったのでこのタイミングでまとめ.

minihardening.connpass.com

2015-5-23,IIJさんで開催されたMINI Hardening Project #1.1に参加してきました.

====

最寄駅の飯田橋についてIIJに行くまでにとりあえず迷子になった.

Hardening #とは

MINI Hardeningの存在はいつぞやの#ssmjpで某氏が教えてくれて,某氏も参加するとの話で参加した.その時に元祖の沖縄で開催しているHardeningの存在を知った.

Hardening Project | Web Application Security Forum - WASForum

"「守る技術」の価値を最大化することを目指す、全く新しいセキュリティ・イベント"らしく,CTFとは違った競技とのこと.

競技は,与えられたサーバで運用しているサービスを継続しているかの稼働率SLA)のポイントと,報告書(何に対応したのかの報告)でのポイントで競う.
チーム戦で行うということで4人1組のチームが7(覚えてない)つで競技をした.
与えられたサーバは,完全にアップデートをサボったLAMP環境だった.すごい見覚えがある.
競技開始からわりとすぐに攻撃者が攻撃してきたり,わりと忙しい感じの競技だった.
今回はMINIということで3時間という競技時間だったが本家は8時間耐久戦らしい()

競技

はじめに断っておきますと,私は完全に役に立っておらず,Slackで対応していったものを眺めたりtail-f /var/logでログを眺めて怪しそうな通信を見てるだけだった.
サーバの管理はちょっといじっただけの完全に初心者以下の人間だったので,役に立てるわけはなかったが,チームメンバが対応していっているのを見て勉強になるなあとログを眺めてた.

アップデートを怠ったサーバならば,アップデートをすればいいのでは?と思い競技中にyumやapt-getを試みようとしたが,パッケージ管理のシステムがネットに接続できずにできなかった.だが,協議後にアップデートをして対応していたチームがいたり,前回の#1での報告から知ったことだが自分でパッケージファイルを持ってきて展開することは出来るみたいだった.

結果としては,チームの方々の柔軟で迅速な対応のおかげで1位となった.完全に自分は役に立っていなかったので申し訳ないと思いながら差し入れのスイーツを食していた.

 

感想

競技終了後に運営の方々の答え合わせがあり,新たな知識ばかりでとても勉強になった.
今までCTFを初心者なりにちょっと参加してきた身としては,攻撃されるというのが新鮮ではあった.
サーバの管理をしよう(してる)とする身として基礎的な知識がこれほど無いのかと思い知らされた.周りがプロばかりだと怯んでいたが,結果的に得られるものが多くて良かった.

おまけ

チームメンバの方が持ってきたエナジードリンクシリーズが見たことないエナジードリンクばかりだった.
世の中には自分の知らないエナジードリンクや,エナジードリンクを使用した料理があるのだと知った.世界は広い.