Akatsuki Hackers Lab | 株式会社アカツキ(Akatsuki Inc.)

Akatsuki Hackers Labは株式会社アカツキが運営しています。

CODE BLUE 2023参加記:食べて Decompile 寝て 繰り返す

イベント セキュリティ

セキュリティエンジニアの小竹(aka tkmru)です。 先月、CODE BLUEというセキュリティカンファレンスに行ったので、その参加記を書きました。 このエントリーはAkatsuki Games Advent Calendar 2023の1日目の記事です。

CODE BLUE とは

CODE BLUEは、2014年より東京で開催されているセキュリティカンファレンスです。 日本国内で開催されているセキュリティカンファレンスの中では、最大級のカンファレンスです。 去年は「オンライン配信」+「リアル会場」によるハイブリッド開催となっていましたが、今年は会場のみでの開催でした。 去年は登壇者として参加していましたが、今年は去年よりも参加者が増えているように感じました。

Hex Rays社のグッズに心を奪われる

今年のCODE BLUEでは、なんとIDA Proの開発元であるHex Rays社がスポンサーになっていました。 Hex Rays社のブースでは、サッカーのゲームのスコア次第でTシャツやノートなどをもらえるというイベントをやっていました。

私はTシャツをもらうことができました。愛用しているツールグッズをもらえるというのは、とても嬉しいですね。 食べて、Decompile、寝て繰り返し、マントノン侯爵夫人と一生を添い遂げようと決意しました。

印象に残った発表

ここでは印象に残った2つの発表を紹介します。

休憩中に飲む紅茶が非常に美味しい!!!!!

stelftools: クロスアーキテクチャに対応した静的結合されたライブラリ関数の特定ツール

stelftoolsという静的リンクされたライブラリ関数を特定するツールの発表が行われました。 この発表はツールに関する発表が行われるBluebox枠での発表です。 本ツールのリポジトリは以下です。 github.com

多くのIoTマルウェアでは、ライブラリを静的リンクしており、解析時に攻撃者が定義した関数なのか、ライブラリ内の関数なのかが特定しづらくなっています。 動作を詳細に解き明かしたいのは攻撃者が定義した関数であり、ライブラリ内の関数と区別できれば、効率的に解析が行なえます。 また、ライブラリ内のどの関数がどの部分で用いられているかが分かれば動作を理解する助けになります。

しかし、IoTマルウェアは様々なアーキテクチャのCPU向けに開発されており、関数のシグネイチャを用意するのは大変です。 この問題を解決するためにstelftoolsは開発されました。stelftoolsは17のアーキテクチャと700以上のツールチェーンに対応しています。 静的リンクされたELFバイナリを解析するためのツールということでst(atic)-elf-toolsと名付けられています。

関数の発見にはパターンマッチだけではなく、分岐先のアドレスや呼び出しの依存関係を比較することで精度の向上が図られています。 rand(3)のような、内部で別の関数をそのまま呼び出すだけの関数はサイズが小さすぎ、単純なパターンマッチだけでは大量に一致してしまう問題を解決しており、 IDA F.L.I.R.T.、BinDiff、rizzoなどの他のツールよりも精度が高いものを実装できたとのことです。 リポジトリ内のYARAのパターンファイルを見ると、膨大な量のシグネイチャが用意されており、 開発の大変さがうかがえます。

IDAやGhidraのプラグインが用意されており、 非常に便利そうで私自身も使いたいツールではありますが、チーターの皆さんには使ってほしくないツールだなと思いました。

PowerAutomate C2: クラウド寄生型ステルスC2フレームワーク

PowerAutomate C2というツールの発表が行われました。この発表もBluebox枠での発表です。 Power AutomateはMicrosoftが提供している「新しいPowerShell」とも称される強力なローコードツールです。 このPower AutomateをC2マルウェアとして活用しようという発表でした。 本ツールのリポジトリは以下です。 github.com

去年のAVTOKYOでも発表されており、その時の内容は発表者のブログにまとめられています。 jp.security.ntt

Power Automate C2を活用するための攻撃シナリオは次のようになります(上記ブログより引用)。 PowerAutomateで構築された自動化処理はフローと呼ばれ、フローの実行ログは1ヶ月程度保管されますが、フローを消すとログが消失します。

  1. 攻撃者はユーザーを侵害して Power Automate へのアクセス権を入手し、悪意あるフローを作成する。
  2. 侵害されたことを知らないユーザーが、たまたまパスワードを変更する。
  3. 攻撃者は C2 経由で Power Automate へのアクセスを継続し、任意のフローを作成・実行する。
  4. 攻撃者は目的を達成したらフローとともに痕跡を削除する。

Power Automateを活用する利点として、クラウド上で完結するため、ユーザーの端末を必要とせず、EDRやIDSの監視対象外で活動を行える点、ログを消すことが容易な点が挙げられます。

ノーコードツールを攻撃に使用する方法のドキュメントは不足しており、大変勉強になる発表でした。 他のノーコードツールでも似たことができないか確認してみたいと思いました。

PwCによるアフターパーティー

CODE BLUEでは全ての発表が終了した後、最後に公式のネットワーキングパーティーが開催されています。 その後にPwCが去年から独自にアフターパーティーをクラブで行っています。 今年は六本木のクラブに観光バスで移動しての開催となりましたが、移動費、参加費もなんと無料です!!!! 普段クラブに行かないので新鮮な体験でした。ネットワーキングパーティでは会えなかった人ととも出会えて非常に楽しかったです。

まとめ

発表を楽しむだけでなく、なかなか普段会う機会がない知人たちとも会えて、とても楽しいカンファレンスでした。 カスペルスキーの学生招待枠での参加だったり、学生スタッフとしての参加だったり、発表者としての参加だったり、形態は様々ですが、2015年より毎年参加している(多分....)ので、来年も機会があればぜひ参加したいと思います。