サイバーレジリエンス第4回「ネットワークと脆弱性」
日付:2020年5月25日 / カテゴリー:授業
標的型攻撃メールやマルウェアについて理解が深まると、攻撃者側の戦略、技術、手法(Tactics, Tehcniques, and Procedures; TTPs) が理解できるようになります。ここまで到達できれば「サイバー脅威のレビュー」という講義の一貫性を「講義の縦糸」として保ちつつ、キルチェーンを「講義の横糸」を理解させると「俯瞰的なサイバー脅威のレビュー」につながると考えています。
さて、次のトピックはネットワークを介して行われるサイバー攻撃全般です。ここではサイバーキルチェーンにそって偵察から。ポートスキャンはTCP/IPの基礎的な知識が必要になりますし、OSスキャンはTCP/IPの実装の知識が必要となります。場合によっては、FreeBSDなどのnetinet/以下を見た方が良いかもしれません。CIS Critical Control 20 を念頭に置くと、脆弱性スキャナ、ペネトレーションテスターまでを説明するのが良いと思います。今回はMS17-070を攻略してWindows7をリモートから制御するというデモを行うこととしました。Malconfscanで役に立ったWindows7は32bit版なので、次は64bit版が必要ですね。いずれにしても、VEPを説明し、EternalBlueを説明し、標的型メールを説明し、radare2/cuckooで解析し、これでWannaCryの俯瞰的なレビューができると良いですね。
脆弱性の原理としてはBuffer Overflowsを説明しました。昔書いていたIntel 32bit CPU 用の “/bin//sh” を起動するコードが今のOSでは動かないようになっていて苦戦が予想されましたが、こちらはgdb-pedaが便利で助かりました。