長くなったので分割した第2弾です。一般参加者の方がご帰宅なさったあとのお話です。明らかにできる範囲で書いていきますのでご了承くださいませー。
あとここからは講義の内容と言うよりは自分がしたことを中心に書いています。かなり一人称視点です。ってか日記です。こちらもご了承ください。
とりあえずLTが終わったあと会場の片付けをして荷物をまとめて地下鉄で勉強会場まで向かいました。会場で我々を待ち構えていたのはピザでした。とりあえずグループごとにまとまって座って、なんかいつ食べ始めて良いのか明確にならないままグダグダと挨拶とか雑談とか。僕は緑グループだったのですが、4人中僕含めて学生部が3人も居たので連携的なのはバッチリ。もちろんもう一人の方ともすぐに打ち解けましたよー!
春山先生が「食べながらコピーしてもらいたいデータがあります」とおっしゃるので各自PCを用意して作業(と食事)開始。私のThinkpadはVMが起動しないことがわかっていたのでPCを借りたのですが、ここで問題発生。借りたPCもVMが起動しないんです。
原因はIntel-VTがBIOS(UEFI)レベルで有効になっていなかったことでした。ちゃんと有効にしたところ動作しました。32BitOS上で64BitのVMを動かしたいときはVTが必須であることをここで学びました。あとBIOS SetupのどこにVTがあるのかも。今回はThinkpadの事例でしたが、他のBIOSやUEFIの設定画面でも流用できるでしょう。
そしてここで奇跡が発生。前日まで起動しなかったSANSのVMが自分のマシンで起動しました。ちょうどとなりのたいこーぼー君の容量が足りない事案が発生していたので、借りていたマシンを譲って自分は自分のマシンを使うことに。使い慣れたマシンの調子が急によくなって驚き&うれしさ。やはり本番は何が起こるかわからないですねぇ。
ピザも食べ終わって、ここからはメモリダンプの解析です。事例の背景やツールのセットアップ、解析手順などを先生から教わりました。
具体的には、何らかの外との通信が行われていたという想定で、該当のIPアドレスを使用していたファイルの特定から始めました。使用したのは「Volatility」というツールです。事前課題でちょびっと触ってたのでヒントを元に解析開始。割とすぐPIDを特定することができました。(そもそも事前課題で怪しげなファイル名に目星を付けていたからここで確信を持てたという感じ)
その後は該当のPIDを親に持つ子プロセスを検索したり、コマンドライン引数を探索してもらったり、DLLをダンプしてすぐウイルス対策ソフトに消されたりする(オフにしておけばよかったのにね)など様々な解析をしていました。話し合いながらワイワイやっているうちにあっという間に終了時間になっちゃったんですけど。
そして成果発表。先生の独断と偏見で(?)緑チームが選ばれたので、紆余曲折があって僕が現状を説明。そして答え合わせ。なんかトンチンカンなこと言ってたら怖いなーと思ってましたがその時点では大きく道はそれていなかったようで安心(?)しました。
このとき先生がマルウェアが使っていたフォルダの中身を見せてくれたのですが、自分が何度やっても再現できなくて今でもモヤモヤしてます。アレを何とかして抽出したいのでもう一回教えていただきたいっ(切実)。
そんなこんなで1日目の全行程が終了しました。
22時も迫っており、この会場も長くお借りするわけにも行きませんのでそそくさと片付けてアパホテルに向かいます。道中はあいにくの雨模様でしたが、キャンプ生やスタッフの方ととコンビニ寄ったり雑談しながら歩けましたので、とても楽しいひとときでした。
そしてホテルにチェックイン。僕はたけまるさんと同じお部屋だったのですが、たけさんやかのん君などなど最終的に合計4人も押しかけてきて結局6人でグダグダとああでもないこうでもないとメモリダンプの解析に精を出していました。結局2時ぐらいまでやってたのかな。進捗出なかったけど。
ホテルでの夜はまぁ、解析しつつもカオスでしたよ、はい。かのん君がアレしたりコレしたりして…お隣の部屋から「隣の部屋は寝る気があるのかっ」とおしかりも受けてしまいました。
そして二時に寝たのにもかかわらず六時半頃に目が覚めてしまうと言う。頑張って二度寝しようとしてなかなかできなくてを繰り返してたら七時になったのでベッドから抜け出してひげそりなどして朝食へ。そういえば朝食に行く直前にたけまるさんがタオルっぽいものを発見したんですが、そこに名言が。
はい、精進します。
朝食は大変あっさりしたものをとりました。味噌汁美味しかったです。とっても。
で、いったん部屋に戻ってからアパ水を買いに行きました。やっぱこれがないとセキュキャンじゃないですよね、ね!
そして部屋を片付けて集合場所へ。雨の中地下鉄で二日目の会場へと向かっていきました。
なんかとてもとりとめがなくなってしまった。一般の部はまとめれば良いだけだけどそこから先は自分の体験だからなぁ…難しい。
とりあえず重要なのはIntel VTの件とVolatilityでマルウェアが使っているフォルダを参照できなかったことです、はい。前者は知識の吸収ができましたが、後者はまだまだ考える余地があるというか、たどり着いていないのでモヤモヤしっぱなしです。
そういうわけで、2日目ハンズオンの方は使ったスクリプトとかも交えていきたいと思いますので、長くならないようにいったんここで締めます。つづく。