# 2018セキュコンメモ ###### tags: `MBSD Cybersecurity Challenges` ### 見やすいように書き換えたつもり 発表時間:12分 記載してる時間は質疑応答を除いた発表の時間 並びは発表順 1位:IPFactory 2位:MOFFU_MOFFU_ISC 3位:なんでもいい # 前半 ## 静岡産業技術専門学校 #### Team.Aoki * MySQLが3306:デフォ * サービス丸見え * ソースファイルが流出 * phpをアップロードし、ソースからファイル名特定 * 複数phpファイルアップロードも確認、一部削除されている    * rootの奪取←わからない ## 情報科学専門学校 #### IPFactory 1位 [参加レポートブログ](http://caya8.hatenablog.com/entry/2018/12/17/091908) [発表スライド](https://speakerdeck.com/8ayac/mbsd-cybersecurity-challenges-2018-zui-zhong-shen-cha-hui-fa-biao-suraido) [提出レポート](https://drive.google.com/file/d/1TqSTRwXYYWOqvguZ-Y2CxOxAb3iy_Slx/view) * 被害状況 * 文字が小さいような…  * sendmessage.phpが漏えい * 192.168.11.204からphpでcmd実行 * ログから判明、ファイルはなし * リバースシェル（faabtest.php） * nc -lvp 4444 * POSTデータがなかったので直接的な証拠なし（抽象的） * ブリティッシュ38便の事故 * 証拠を探してもない→消えたものに注目 氷…？ * 正確な原因究明には多くの証拠が不可欠 Q:postログがあったらさらに被害があったのでは？ A:考えてなかった Q:root取られたら信頼できるログは？ A:定期的にバックアップ、バックアップ間は無理 Q:ログは改ざんされている？ A:可能性はある、コンテストだからそこまでしないだろう（笑） Q:違うログの取り方、POST、レスポンス A:取ったほうがいい、全ては無理だろう、社内で検討 ## 名古屋工学院専門学校 #### 表示エラー 1人で！ * sudo履歴 * apache、sudoの乗っ取り * sendmessage.php * ファイルアップロード後に拡張子を確認している * .aファイルがアップロード * 0anacron改ざん * cron.hourlyに書き込み * dirtycow * 0anacondaを書き換えた * バッチを定期的に適用 * readdiary.phpにXSS * 日記を開くと同じ日記が投稿される * 他のユーザの日記を改ざん * writediary.phpを変更し、対策 Q:どれくらいの期間？ A:調査2週間、残りレポート 　Q:攻撃手法の把握は？ 　A:ログから Q:どのようにログを見た？ A:検索に頼ってログを見た Q:再開するにあたってどうする？　 A:root取られていてどこを書き換えられているかわからないのでOS再構築 　Q:再構築するだけでいい？ 　A:自動的に改ざんを検知するロジカルを導入する ## 日本工学院八王子専門学校 #### わふ [参加レポートブログ](https://qrunch.net/@TiredCat/entries/kiJM1lpHKKUClFv1) [提出レポート](https://docs.google.com/document/d/1hoaWO6Z7ducN2FLI5pS9lk-ClUu8uCxVKI4vNaT11_I/edit)  * 侵入者は2人 * 1人が権限取得 * マルウェア * DirtyCOWで定期実行ファイルに書き込み * sudoersに書き込み * 疑似コードで実験  * 被害  * 対策（一次） * 再侵入防止 * アクセス提示 * ステークホルダーへの対応 * 回復 * 悪性ファイル削除 * 対策（二次） * 監視強化 * セキュリティポリシーの策定 * 設定の見直し、アップデート * セキュリティ製品の導入 * 社内CSIRT * 社内部門と連携、外部とも Q:dirtycowは二次対応では？ A:二次は一次の後 Q:説明文の理由（女の子2人） A:いじってもらえたので（笑） > ~~アピール文は「女の子三人で頑張るのん！」でしたが、女の子は一人もいませんでした。~~ > https://qrunch.net/@TiredCat/entries/kiJM1lpHKKUClFv1  ## ECCコンピュータ専門学校 #### なにわのシリコンバレー:latest   * systemやexecで検索するとwebshell発見 * DirtyCOWはわからず * 0anacronにapache ALL（略）>sudoers.d/a * webshellが設置されたのが原因 * ifの中入れかえて置けないように * （実演）←インパクトあり > 攻撃を再現するデモを行ったチーム > https://www.mbsd.jp/blog/20181225.html Q:ブラウザで動いてたのは？ A:見栄えのため。実際はpython Q:（対策がほしかったのに（笑））攻撃の仕方の見解 A:2人いて、1人が賢くてもう1人は… Q:（レポートから）複数のIPを攻撃者と見たのは？ A:脆弱性スキャン使っていたので ～～～ 休憩 ～～～ # 後半  ## 東北電子専門学校 #### NEthernet Ⅱ * 全利用者が被害 * 13人、内5人はパスワードも * Exploitコードを用い、タスクスケジューラに書き込み（Dirty cow） * 経営層の対応 * お詫びと問い合わせ対応 * 二次被害防止取り組み * セキュリティメールがあった * 対応していれば防げたのでは * 再発防止 * 社員全員教育 * 定期的な講習会 * 更新確認 * シミュレーション * 社員の意識の低さ * 技術、人、システム3つの観点から対策 Q:システム監査も入れたらよかった？ A:入れたほうがよかった Q:再開していいライン A:脆弱性の修正、監視 Q:関係のない部署の教育 A:部署別では考えてなかった ## 東京電子専門学校 #### 竹花森のくまさん * 調査の工夫 * 読み込み専用にし、ログが残らないよう * python * 攻撃 * 攻撃者は2人 * IP下.204 * MySQL * load_file関数 * Dirty COW * 0anacronにecho書き込み * ssh * authorized_keysに鍵配置 * chshコマンドでnologinからbashへ変更 * XSS * ページを開くと自動投稿し、拡散 * IP下.143 * webshellが残っていた * ayusam署名 * pythonリバースシェル * トップページの改ざん * 調光があったのに対策を怠った Q:80と443以外ブロック？ A:必要なサービスは順次、80はHTTPで必要 Q:膨大なログの解析の効率化 A:並び替え、攻撃のログは少ない（ほとんど解析） Q:後輩育成 A:CTF参加、攻撃 ## 情報科学専門学校 #### MOFFU_MOFFU_ISC 9分30秒 2位 * 重大な情報が大量に流出 * MySQLアクセス * rootアクセス、パスワードなし（初期） * mysql_dump、file_loadでソース流出 * Dirty cow * curlでマルウェア * スケジューラを待ち、権限昇格 * 被害  * 機微情報度等で漏えい個人情報の価値を算出 * 1件あたり被害額6000、件数7で42000円（ログイン情報） * 累計約300万円（2955000） * 対策 * テスト項目を増やす * セキュリティ対応チーム作成 * セキュリティ教育の委託 * 既知の脆弱性が存在、セキュリティへの意識不足 （金額出したことがインパクト） > 利用者への損害賠償金額を算出していたチーム > https://www.mbsd.jp/blog/20181225.html Q:300万くらいならどこから対応？ A:侵入経路の封鎖、パッチ適用 Q:情報の価値付加基準 A:合算するならユーザとログイン情報、メッセージ情報は貴社で Q:ログ解析ソフトについてなぜそれ？ELK A:興味、可視化、csv、役に立つ ## 麻生情報ビジネス専門学校 #### なんでもいい 12分 3位 [参加レポートブログ](https://for-ne.info/mbsd2018) [提出レポート](https://for-ne.info/wp-content/uploads/2018/12/mbsd_report.pdf) [発表スライド](https://speakerdeck.com/gomafu04/team-nandemoii-mbsd2018) * レポート点が高くてプレゼン点が低かった模様なんで参考にする際は注意 * プログラム2人、サーバ2人 * 手順 1. サーバでマルウェアをcurl、権限昇格 2. .zをダウンロード、漏えい 3. XSS フィッシング * ファイルアップロード問題 * 2つに分け、先に拡張子判定 4. Dirty COW * /tmp/.aを実行、cronに書き込み * カーネルをアップデートし対応 * 対応 1. まず謝罪しましょう！ 2. ファイルの削除 3. 脆弱性の対処 4. 恒久的対策 * WAF、IPS * 運営のセキュリティ意識の低さ * ログ監視強化 * 使用ツール:sparta Q:phpinfoで侵入？ A:得られる情報の中に重大な内容が。外に出すのはよくない ## 産業技術高等専門学校 #### LynT4X 11分30秒 * 被害状況 * 盗聴プログラムでユーザ名パスワード（平文） * 緊急停止、対策本部設置 ↓ * 警視庁へ相談 * 一次報告 * 情報摂取までの5ステップ  * データベースが外部に公開状態 * データベースのパスワードが未設定 * 対策 * セキュリティを意識したプログラム開発（php） * rootユーザのアクセス設定（アクセスコントロール） * 再開に向けた対応 * サーバを分ける * FW、IPS、WAF * 脆弱性診断 * CISOの任命 * セキュリティ向上 * 新しい脅威…継続的な見直し * セキュリティ人材育成 * 日々の情報共有 （MySQLsetコマンドは理解できるか） Q:Dirtycowも危険度高く？（脆弱性の危険度をレベル別に出してた） A:criticalに近いが、それだけではならなかった。被害拡大にはなった Q:どこが責任問われる？ A:意識低さ、資金面から経営層が Q:どこまで対処すれば？ A:サーバ分割、最低でもFW、脆弱性診断、調整しサービス再開。soc、csirtはオプション ### (審査員)セキュリティエンジニアって楽しいの？ * 脆弱性診断 * SOC * セキュリティ上の問題が発生していないか調査 * CSIRT * レポート(報告) * When(いつ)、Who(誰が)、How(どのように)、What(何をしたか) 問題を特定し、対策を * 脆弱性診断士とは * 脆弱性の有無を調査 脆弱性報告件数は18/11の1ヶ月981件 * 事例 * SQLインジェクション→ユーザ情報取得→SSHログイン→スクリプトファイルからパスワード取得→権限昇格→使いまわしから別サーバへ→LMハッシュから全ユーザパスワード取得 跡を残さないように（bash_history） 複数の知識が必要、足りない知識を身につけるよう * 運営裏側