スポンサーサイト 

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
  • [--/--/-- --:--]
  • スポンサー広告 |
  • トラックバック(-) |
  • コメント(-) |
  • この記事のURL |
  • TOP ▲

BlackHat Japan 2006 Briefings のメモ3 

これが最後のメモになります。

●ボットネットの発見、追跡、影響緩和のための、マルウェア捕獲
 ゲオルグ・ヴィヘルスキー & トールステン・ホルツ

ボットネットを追跡するための、3つのツールの紹介があった。
  1. nepenthes: ハニーポット構築用のツール
    特定の脆弱性を模倣するエミュレータモジュールを用意し、そこへの攻撃を観察できる。
    また、攻撃で使用されるシェルコードが実行できるシェルコードモジュールも用意されており、攻撃の流れを観察できる。
    攻撃の中でマルウェアを外部からダウンロードさせようとする場合には、ダウンロードが成功したかのように見せかけるダウンロードモジュールも用意されている。
  2. CWSandbox: マルウェアの挙動を追跡するためのツール
    マルウェアの挙動を観察するための、サンドボックスを用意できるツール。
    APIのフック、コードのオーバーライト、DLLインジェクション等が利用でき、動作の詳細な部分まで把握できる。
  3. botsnoopd: ボットネットを追跡するためのツール
    ボットネットで利用されているプロトコルを模倣し、Botクライアントをモジュールとしてエミュレートすることで、動作を把握できる。
    このソフトの正式版はまだ公開されておらず、近く公開する予定とのこと。


●Winnyのプーさん
 杉浦 隆幸

Winnyの暗号を解読した、ネットエージェント株式会社の杉浦氏による講演。
最近では、Winny利用の目的も変わってきており、流通コンテンツはアニメがメインになっているとのこと。(特に地方では視聴できないようなモノ)
現在よく利用されているP2PソフトウェアにはWinnyとShareがあるが、二つを比較するとWinnyはよく出来ているとのこと。
作者の金子勇氏が、フィードバックを経て何度もバージョンアップを繰り返したため、パラメータのチューンがよくできているらしい。
豆知識として、Winnyのアイコンはニューヨークの写真ということを紹介していた。
あわせて、ある程度ファイルサイズの大きなものになると、ファイルサイズから一意にファイルが定まることも紹介していた。

Winny上で流通しているマルウェアは亜種が多く、セキュリティベンダーもほんとど対応していないため、アンチウイルスソフトによる検出は難しい。
またWinnyを取り巻く現状は、金子勇氏の裁判の行方を見守っている状況。
漏洩したファイルのダウンロードや、ACCS会員の著作物をアップロードすると警告が来るようだが、今の所は警告止まりの場合が多い。


●カーネル内でのWindowsフォレンジック分析を排除する
 ダレン・ビルビー

事故や何らかの被害にあったとき、証拠保全を如何にして行うか、の講話。
揮発性の高い情報(メモリ内の情報や、ネットワークのコネクション情報)は、早急に保存しておく必要がある。
PCを起動したまま、即座にデータバックアップを行うLive Imagingができれば一番良い。
サービスを停止すると損害が発生するような場合には特に重要な要素である。

後半では、証拠保全のためのRootkitの紹介があった。
より低レベルな位置にRootkitを設置しておき、攻撃者からは身を隠しながら逐次証拠を保存していくというものだった。
見えないところでツールが稼動しているのは不気味だが、未知の攻撃に対する証拠を確実に抑えるためには、このくらいの対策が必要なのかもしれない。


参考
Winnyはどこまで危険か - CNET Japan
http://japan.cnet.com/news/sec/story/0,2000056024,20265907,00.htm

コメント

お疲れ様でした

ざっと読んだ感じだと、2日にわたるだけあってさすがに内容が濃いですね。
知らないツールの名前がいっぱい出てきたり、セキュリティについて知らないことばかりで、勉強しなきゃ、と思いました。

それにしても、参加費が84000円ですか。
結構な値段とはいえ、講演の内容を全部自分のものにして、また良いホテルで高名な人の講演を生で聴けることを考えたら、安いものなんでしょうね。

今では技術分野だけではなく、様々な分野でセキュリティに配慮することが求められていますから、最低限の知識は仕入れておいた方がよさそうですね。
参加費の相場としてはどうなんだろう・・。ぼったくり感は無いので、よいイベントだとは思うのですけど。
私は運良く招待券が入手できたので無料でいけました。^^

コメントの投稿















管理者にだけ表示を許可する

トラックバック

この記事のトラックバックURL

セキュリティの考察

ハニーポットは囮のために設置するので正規の通信が発生しないという特徴がある。これは、記録に残るアクセスはすべて不正アクセスとなるので、誤検知を減らし検知洩れを無くすことができる。ハニーポットの目的として、ウイルスやワーム (コンピュータ)|ワームの検体の入手
  • [2007/03/31 15:46]
  • URL |
  • セキュリティの考察 |
  • TOP ▲
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。