Harekaze Talk #1 @日本マイクロソフト株式会社に参加した。その際のメモ。
Office365等のお金セキュリティや色々話す – @hiww氏
・Office 365 を利用するのであれば、Office 365 Advanced Threat Protection サービスを利用すべし。
簡単にメールのセキュリティを向上させることが可能。
EMACについて – @chouett0氏
EMACとは
・Extreme Malware Analyzing Challenge(造語、今後変わるかも)
・マルウェア解析の敷居を低くしたい
・まずはコミュニティ形成から、最終的には大会ができればよいと考えている
解析例
fileコマンドでファイルを判別
→HTMLファイルだった
→http,httpsでURLを検索
→whoisやaguse.jpを利用して中身を調べる
→アクセス先が2箇所あり、中国とロサンゼルス
→ロサンゼルスのサーバにアクセスするとマルウェアをダウンロード
→Ollydbgでマルウェアの動きを解析(バイナリであれば、stringsコマンドが有益かも)
Wiresharkで通信状況、Process Explorerなどでプロセス状況を監視する
→Firefoxと連携して、他のマルウェアをダウンロードしている模様
電源設定やディスプレイサイズでサンドボックスかどうか確認しているらしい
SCAP on Windows – @hogehuga氏
・Security Content Automation Protocol
情報セキュリティ対策の自動化と標準化のための規格で、製品についてのID (CPE)、 脆弱性についてのID (CVE)、
設定についてのID (CCE), 脆弱性の深刻さのスコアづけ (CVSS)、自動チェックのための言語 (OVAL)、
チェックリストのフォーマット (XCCDF) などが標準化されている。
https://qiita.com/bezeklik/items/8bf7d0ccf5cf916d778c
・CVSSについて、スコアだけでなくVectorを見なければならない(どの程度、攻撃しやすく危険なのかがより詳細にわかる)
・OpenSCAPをWindowsで動作させようとしたが、コンパイルがうまくいっていない状況。(バイナリ配布されていないためコンパイル)
・SCAPツールの大半はLinux用でWindows用はない。
WSUSやグループポリシーがあるから不要?ただしセキュリティアップデートすることと、脆弱性がなくなることは別問題。
・SCAP実現時のメリットは、Linuxと同じように管理できるようになること。(CVSSなどで比較できるため、見通しがよくなる)
・SCAP実現時のデメリットとして、CVSSがわかっても、どのKBの更新プログラムが適用されていないのかはわからない。
OVALdiが2014年以降、更新されていなさそう。
Windowsのセキュリティ機構について – @megumish氏
※Linuxと比較したときの話がメイン。
・Exploitする人がいるため、セキュアに保たなければならない。
・Exploitはメモリを書き換えることやあるいはメモリ上の資源を利用することで行われる。
・攻撃手法の種類について
・XSS
・SQL injection
・Binary Exploitation
・Shell Code Injection
・Buffer Over Flow
・Return Oriented Programming
・Heap Exploitation
・VMMap(sysinternals)というツールでWindowsメモリの状況を確認すると、Linux(cat /proc/self/maps)と以下の点が異なることがわかる。
・実行プロセスが最初にあるか、最後か。
・heapメモリが散らばっている。(Linuxは一箇所に集まっている)
・メモリ確保が少しづつ処理される。(Linuxは一気に確保する)
セキュリティ機構
・Full Relro(おそらくLinuxの話)
外部バイナリを実行するときに、テーブルを利用する。
Exploitはテーブル関数の書き換えることで予期せぬコードを実行させる。
つまりテーブルを読み取り専用にすることで、セキュリティレベルを向上させる。
・DEP(Data Execution Prevention)
実行可能領域にする必要のないメモリ領域に実行権限を与えないことで、Exploitを防ぐ。
・ASLR(Address Space Layout Randomization)
OS起動時にバイナリの配置位置をランダムに変更する。
・CFG
不正な関数が実行されていないか調べ、ROPなどの攻撃を防ぐ
まとめ
・そもそもLinuxとWindowsだとメモリ管理方法が違いすぎるため、攻撃の仕方や守り方も違ってくる。
・アップデートはしっかりしよう!