セキュリティもみじ、行ってきました。
土曜日に、第8回 セキュリティもみじ勉強会に行ってきました。以下、感想とか。
保全と調査約款(伊原さん)
実際にフォレンジック調査を行う場合の、調査する側とされる側の約款の説明でした。実際の約款は http://forensic.netagent.co.jp/forensic_provision.pdf からダウンロードできるようです。書いてある内容を見れば、そりゃそうだろうと思うことでも、実際には様々な苦労の積み重ねでできた内容なんだろうなぁと思いながら聴講。伊原さんの話の節々にもありましたが、単にネットエージェントにお願いするときの話としてだけでなく、社内の管理者の人なんかは、いきなり偉い人に「不正アクセスっぽいのがあるようなので、今すぐ調べてくれ」と命じられたときに、自分の責任範囲を明確にしておくというのは、すごく重要なのだろうなぁと思います。
ちなみに、前日の大阪でのセミナーに参加した人の話によると、内容的には重複する部分もあるものの、もみじでの話のほうがくだけた内容でおもしろかったそうです。
マルウェアとパッカーの関係(柏原さん)
パッカーを作ってみたので、ウイルスをパックしてオンラインのウイルススキャンにかけたら、1/3くらいしか検出できなかったよ、という話。質疑応答でも少し話したように、メモリ上にロードし、パッカーの展開ルーチンが走った時点で本来の実行部(ウイルス)が全てオンメモリで展開されてしまったので検出されるのかなぁと思います。実行する部分を都度、断片的に展開するような方法だと、もっと検出率は下がるのではないかなぁと思います。
あんまり多数のパッカー(で圧縮された実行ファイル)を見たわけじゃないんですけど、パックされたファイルの特徴としては、やはりインポートしているAPIが極端に少ないとか、バイナリエディタで見るとファイルの前半部以外は圧縮されてるデータばかり並んでいるとか、そういう特徴があります(インポートされてるAPIを調べるには、Dependency Walker なんかが使えます)。
マルウェア自動解析システムの紹介(星澤さん)
オンラインでアップロードされた未知のマルウェアを自動で解析するシステムの紹介。ひとつのファイルについてだいたい5分程度で解析が完了するが、時間のほとんどはクリーンなシステムの再構築に要する時間とのこと。あとで話を聞いてみると、当然ながらその部分(囮マシン)を並列に並べてシステムの回復に要する時間の短縮も可能、とのこと。
また、宴会のときにも話を聞いてみたんですけど、「マルウェアが、『技術的に隠蔽可能』というのはまだまだいくらでも改善可能ではあるけど、実際にはそこまで高度な技術は必要ない」とのこと。確かにそれはそうなんだろうなと思います。今の時点では、「怪しいリンクをクリックさせる」「添付ファイルを開かせる」といったトリガを引かせる部分がもっとも最大かつ唯一のハードルな気もしますし、そうでなくとも脆弱なPCをスキャンして探せばいくらでも感染対象が見つかりそうな気もしますし。
それ Excel で(他力さん)
Excel のマクロ使えば何でもできるよね、という話。あとで他力さんや伊原さんと話していたんですけど、Excel マクロで動作させると、ほとんどの場合、監査ログにも Excel しか残らないよねー、という点が興味深かったです。実際、手元で WebBrowser コントロールを貼り付けたブラウザもどきを作って動かしても、監査ログには Excel しか残りませんでした。ただし、監査ログに残らないのは、インプロセスサーバな COM だけで、Outlook のようなアウトプロセスサーバを利用した場合にはもちろんその exe の起動がログに残ります。
Apache わっふるモジュールで SQL injection 対策(竹迫さん)
Apache の Input filter として実装された WAF のようなモジュールの紹介。ルールに合致する入力のみを通過させ、おかしな入力のときはエラー画面に飛んだりできるそうです。でも、おかしなエラーのときに飛ぶ、カスタムエラーのページの作りが甘いとダメだよねー。とか思いながら聞いてました。
本当の WAF の中の人に話したら、「おもしろそう。触ってみたい!」と興味津々な様子でした。
あと、竹迫さん、シニア気味風邪気味だと言われてるのに、宴会では思いっきりしゃべり倒して相手してもらってました。ごめんなさい。
