レッドチームのツール:Tomのハッキングキット
エフセキュアのプリンシパルセキュリティコンサルタントであるTom Van de Wiele(トム・ヴァン・デ・ヴィーレ)(英語)は、レッドチームのメンバーとしてレッドチーム演習や企業機密へのハッキングに関しての質問を受けるとことが良くあります(英語)。そのため、彼はより多くの人からの質問に答えるべく、reddit(英語)(ウェブサイトへのリンクを収集・公開するソーシャルブックマークサイト)で「Ask Me Anything(何でも聞いて)」セッションを行いました。
彼のスレッド「私は企業に侵入して機密を盗むために雇われたホワイトハッカーです – AMA(何でも聞いて)!」(英語)は、「Ask Me Anything」のトップを飾るとともに、redditのフロントページにも掲載されました。3,000件を超える質問の中には、どのようにしてレッドチームに加わったのか(英語)、企業に侵入したときに出会ったとんでもないことは何か(英語)、などの興味深い質問が多数ありました。
その中でも、「あなたのハッキングキットを教えてください」という質問に対するTomの回答は、多くのハッカー志願者だけでなく、エフセキュアの社員の関心を集めました。
Tomは、多くの人がキットに興味があるのかについては理解していますが、ツールだけでは有能なホワイトハッカーにはなれないことを心に留め置くことが重要だと説明してくれました。
「テレビの料理長のショーを見て、シェフが使っているナイフやオーブンの種類を聞いて買いに行くことはできます。しかし、全く同じナイフでも長年の経験に置き換えることはできません。」と述べています。「所詮、これらは道具であり、目的を達成するための手段です。最も重要なことは、ソーシャルエンジニアリングのノウハウであり、企業の基本的な活動を理解することです。 企業や組織の技術、プロセス、社員を動かしている共通の役割が分かればそれらを悪用することができます。」
彼のキットも、出来合いのものをそのまま使っている訳ではありません。
「使用するすべての電子機器は、私たちの要求を満たすためにカスタマイズされています。よりコスト効率の良い方法で攻撃を行い、攻撃者としての成功の可能性を最大限に引き出せるよう、古い方法から最新の方法まで幅広い種類の攻撃を試す準備ができています。攻撃ツールが購入されたままの状態では、すぐに検出されてしまいます。また、攻撃に必要なものや、行動を正確にロギングするために必要な機能を提供してくれません。ロギングは本物の攻撃者は気にしていない機能ですが、我々レッドチームは使用を義務付けられています。その結果、依頼企業は演習の後インシデント対応の一環としてバックトラックすることができます。レッドチーム演習は、お客様に価値を提供しつつも、少なくとも攻撃の第1段階で身をひそめるためには、カスタマイズが鍵を握ります。
Tomは、これらの警告を念頭に置いてくれるなら、喜んでレッドチーム演習キットの紹介を、写真と説明を添えてさせていただきますと答えています。
それではトムのキットの中身をご覧ください。
1:クリップボード、蛍光ベスト、ヘルメットやその他の衣類:収集した情報基づき、施設侵入のシナリオに沿った(英語)小道具として創作
2:イーサネットUSBアダプタと、WiFiアダプタ: 4)に関連した資格情報を窃取するため
3:イーサネットケーブルと他のケーブル
4:不正なネットワークインプラント: エフセキュアによって管理されているインターネットから内部ネットワークへの永続的アクセスのため
5:Proxmark3(上)および専用RFID/NFCアクセスカード/トークンコピー機およびクローナ(下の白いもの)
6:高速ペイロードの選択と入力、またはターゲットに応じた日和見的パスワードブルートフォースのためにカスタマイズされた「ラバーダッキー」または同様の自動化されたキーボード/マウスHIDデバイス
7:オンザフライで不正なWiFiアクセスポイント攻撃を実行するためのWiFiアンテナを備えた「PocketCHIP」ミニコンピュータ、資格情報の収集やイーサネットベースの資格情報搾取、または中間者攻撃のペイロード配信ツールを含む攻撃ツール電源バンク(写真なし)
8:大きさ比較用、および建物の周りを持ち歩くためのバナナ。このような物を持っている人は不審者ではなく関係者とみなされる
9:特定の鍵、ロッカー(アクセスカード、バックアップテープ、鍵、アクセストークンなどが入っている)やラックの鍵を外すために使用される、プライヤー、ドライバーおよび他のツール
10:開錠キットとピックガン(ピンシリンダー専用の開錠治具: 写真なし)、「バンプキー」および「ジグラキー」
11:必要な時に折りたためるキーボード
12:見つけた人を惹きつける偽の書類が入ったUSBサムドライブとキーが付いたストラップ。拾った人がUSBサムドライブをコンピュータで開くと、そのコンピュータがターゲット企業のインフラストラクチャの一部である場合のみ侵害する。これは、ソーシャルエンジニアリングのシナリオにある「自分の鍵を紛失」の一部として、可能であれば建物の内に、不可なら駐車場や自転車置き場にわざと落とされる。
13:「LAN Turtle」、種々雑多なものの保存と、カスタマイズされたネットワークベースの攻撃
14:従業員の背後に立ってキーパッドに残った潜熱を撮影するためにスマートフォンに接続されるFLIR赤外線カメラモジュール。これにより、従業員がPINを覆い隠すように入力しても1分以内なら見破ることができる
15:Wi-Fi付きUSBキーロガーにより、(4)の不正なネットワークインプラントと組み合わせることで、建物外またはインターネットからタイピングしたものを見ることができる。
Tomのさらなる冒険(英語)は、Twitter(英語)の#protectyouraccesscardでフォローしてください。そうすれば、彼は#CyberSaunaかredditのどちらかで、次回もっと多くの質問に答えてくれることでしょう。
カテゴリ