広範囲に渡る技術的なトピックに関して、ジャーナリストや報道機関から意見を聞かせてくれと、かなりの数の依頼を受ける。そして、Black Hatの時期がやってくると、そうした依頼のペースはぐんと上がる。そこで先週、時間を見つけて、Black Hat USAの2016年のブリーフィング(英文)を読んでみた。
かなりの分量だった。
画像ソース:blackhat.com(英文)
今年はBlack Hat USAには行かない予定だが、もし行ったとしたら見てみたいと思う、興味深いトークセッションをいくつか紹介しておこう。
$hell on Earth: From Browser to System Compromise(シェル攻撃対策費用地獄: ブラウザからシステムへの侵入) – 今年のPwn2Ownコンテストで受賞した、8つのブラウザからスーパーユーザへのエクスプロイトチェーンについて掘り下げる。興味がおありでしょう。
Account Jumping Post Infection Persistency & Lateral Movement in AWS(AWSにおける、アカウントジャンピング、感染後の持続性、ラテラルムーブメント) – ますます多くのサービスが、AWSのようなホステッドクラウドサービスに移行されるのにつれて、攻撃者がどのようにこれらの標的に接近するかについて理解しておくことは重要である。このブリーフィングでは、これらのシステムをどのようにして侵害するかについてだけでなく、AWS内でどうやって持続性を手に入れ、ラテラルムーブメント(情報探索)を行うかについても説明する。
Adaptive Kernel Live Patching: An Open Collaborative Effort to Ameliorate Android N-Day Root Exploits(アダプティブなカーネルのライブパッチ: AndroidのNデイルートエクスプロイトの状況を改善するオープンなコラボレーションの取り組み) – Androidシステムは、新たな脆弱性に対してあまり頻繁にパッチが当たらない。これは主に、ハードウェアベンダーが新たなデバイスを出そうとする意欲だけは満々で、すでに流通しているデバイスについては顧みようとしないせいだ。このトークセッションでは、デバイスを製造したベンダーに関係なく、Androidカーネルをライブパッチするように設計されたシステムについてのプレゼンテーションが行われる。
AMSI: How Windows 10 Plans to Stop Script-Based Attacks and How Well It Does It(AMSI: Windows 10はスクリプトベースの攻撃をどのようにして阻止しようとしているか、そしてそれはどの程度機能するか) – MicrosoftのAntiMalware Scan Interface(AMSI)は、実に興味深い技術である。悪意のあるビヘイビアがないか、スクリプトの実行をモニタするように設計されたフレームワークに、サードパーティがプラグインできるようにする。Powershell、VBScript、Jscriptで動作する。残念ながら、Windows 10上でのみ利用可能だ。このトークセッションではAMSIについての多くのライブデモンストレーションも行われる。
An Insider’s Guide to Cyber-Insurance and Security Guarantees(関係者が解説するサイバー保険とセキュリティの保証) – サイバー保険は、急速に成長しつつあるサービス分野である。どのような仕組みなのかより詳しく分かったら、面白いかもしれない。
Augmenting Static Analysis Using Pintool: Ablation(Pintoolを用いた静的解析の強化: Ablation) – リバースエンジニアにとって強力なツールのように思える。カンファレンスの最中にオープンソース化されるようだ。
AVLeak: Fingerprinting Antivirus Emulators for Advanced Malware Evasion(AVLeak: 高度なマルウェア回避のためのアンチウィルスエミュレータのフィンガープリンティング) – アンチエミュレーションのトリックは、多くのマルウェアが用いている。仮想環境では正しく機能しないことにより、それらは自動化された動的解析技術をすり抜けることでき、リサーチャーにとっては問題となる。マルウェア作者がアンチエミュレーショントリックを向上させるのに役立てるために、自身が実行されている環境についてのデータを実行ファイルに送信させるフレームワークについて掘り下げる。
Blunting the Phisher’s Spear: A Risk-Based Approach for Defining User Training and Awarding Administrative Privileges(フィッシャーのスピア(槍)を鈍らせる: ユーザトレーニングを明確化し、管理者特権を与えるリスクベースのアプローチ) – PEBKAC(人的ミス)(英文)を修正し、被害につながることをしないように、できる限りユーザを訓練していても、問題はまだ存在する。これが、セキュリティ侵害がこれほど簡単に発生する最大の理由の1つである。ユーザのセキュリティ意識を高める訓練の別のアプローチについて詳しく説明する。
Call Me: Gathering Threat Intelligence on Telephony Scams to Detect Fraud(お電話ください: 電話詐欺に関するスレットインテリジェンスを収集して詐欺を検知する) – 電話版ハニーポットを設置して、迷惑電話や詐欺電話に関するスレットインテリジェンス(脅威対策の知見)を収集した。それらの通話の特徴の識別を自動化し、そうした悪意のある電話の大多数が、ほんの一握りの人物からのものであることを突き止めた。
Captain Hook: Pirating AVs to Bypass Exploit Mitigations(フック船長: AVを乗っ取ってエクスプロイト軽減策をバイパスする) – ビヘイビア分析を行う保護コンポーネントは、フッキングに依存している。これらのフッキングエンジンで脆弱性を発見することができれば、そうしたメカニズムを回避することができる。まさにこの点について行われたいくつかの研究について掘り下げる。
Cyber War in Perspective: Analysis from the Crisis in Ukraine(サイバー戦争の展望: ウクライナの危機からの分析) – 民族国家のサイバー戦争。常に興味深いトピックである。
Does Dropping USB Drives in Parking Lots and Other Places Really Work?(駐車場などにUSBドライブを落としておくことは本当に効果があるのか?) – 『ミスター・ロボット』というテレビドラマを覚えているだろうか。このトークセッションでは、USBスティックを落としておくことは実際にどれくらい効果があるのかについて説明する。
Dungeons Dragons and Security(『ダンジョンズ&ドラゴンズ』とセキュリティ) – 『ダンジョンズ&ドラゴンズ』を用いた、セキュリティについての指導法。
Exploiting Curiosity and Context: How to Make People Click on a Dangerous Link Despite Their Security Awareness(好奇心とコンテキストの悪用: セキュリティに対する意識があるにもかかわらず危険なリンクをクリックさせる方法) – さらにソーシャルエンジニアリングに関するテーマ。ここでは、最もセキュリティに詳しい人でさえクリックしてしまうメッセージを、どのようにして作り出すか調査した結果の考察。
I Came to Drop Bombs: Auditing the Compression Algorithm Weapon Cache(私は爆弾を落としにやって来た: 圧縮アルゴリズムという武器の隠し場所の監査) – データ展開爆弾(展開すると莫大な量のデータになる小さな圧縮ファイル)についてのトークセッション。
Iran’s Soft-War for Internet Dominance(インターネットにおける優位性を目指す、イランのソフトな戦争) – さらに民族国家に関してのテーマ。
Keystone Engine: Next Generation Assembler Framework(Keystoneエンジン: 次世代のアセンブラフレームワーク) – リバースエンジニアリングコミュニティ向けに、新たなアセンブラを作成した。なかなかよさそうである。今回のショーでオープンソース化されるようだ。
Next-Generation of Exploit Kit Detection by Building Simulated Obfuscators(模造した難読化ツールを用いた次世代のエクスプロイトキット検知) – 難読化の技術そのものに目を向けることを通じて、エクスプロイトキットの難読化の問題に取り組んでいる。コミュニティで使用できるようにオープンソースの難読化ツールを開発した。
Pay No Attention to That Hacker Behind the Curtain: A Look Inside the Black Hat Network(あの黒幕のハッカーは気にしないで: Black Hatネットワークの内部事情) – Black Hatのネットワークインフラの運用担当者たちによるトークセッション。面白そうな話がいろいろと聞けそうだ。
Secure Penetration Testing Operations: Demonstrated Weaknesses in Learning Material and Tools(セキュアな侵入テストのオペレーション: 学習教材およびツールの弱点についてのデモ) –新人テスターのトレーニングで使用されている素材は、いろいろなところで入手できるものだ。攻撃者はこのことを知っており、新人テスターが実施している侵入テストを実際に乗っ取ってしまうことができる。
Subverting Apple Graphics: Practical Approaches to Remotely Gaining Root(Appleのグラフィックスを破る: リモートでルート権限を入手する実践的アプローチ) – AppleのOS Xの各種グラフィックスサブシステムを悪用する方法についてのトークセッション。
The Linux Kernel Hidden Inside Windows 10(Windows 10の内部に隠れるLinuxカーネル) – Windows 10 Anniversary Updateにおいて、WindowsはLinuxカーネルをオペレーティングシステムの中心部に組み込む。これは、セキュリティとツーリングの両方へ影響を及ぼすことになる。
Towards a Holistic Approach in Building Intelligence to Fight Crimeware(クライムウェアと戦うためのインテリジェンスを構築する際の全体論的なアプローチへ向けて) – このセッションのプレゼンターは、攻撃をより速く識別して止めるべく、クライムウェアインフラを追いかけている。そうしたキャンペーンの黒幕を突き止めたりもしている。
Unleash the Infection Monkey: A Modern Alternative to Pen-Tests(Infection Monkeyを解き放て: これまでの侵入テストに代わる最新のテストツール) – Infection Monkeyを用いた、企業ネットワークインフラの自動化された侵入テスト。ネットワーク境界内の感染した仮想マシンを起動するオープンソースのテストツールであり、悪意のないラテラルムーブメント(情報探索)も実行できる。
Using EMET to Disable EMET(EMETを使用してEMETを無効化する方法) – MicrosoftのEMET(Enhanced Mitigation Experience Toolkit)は、ソフトウェアの脆弱性が成功裏に悪用されるのを防ぐためのユーティリティである。ここではEMETをバイパスする方法について話される。
Weaponizing Data Science for Social Engineering: Automated E2E Spear Phishing on Twitter(データサイエンスをソーシャルエンジニアリングの武器に: Twitter上での自動化されたE2Eスピアフィッシング) – Twitter上でのスピアフィッシング。ニューラルネットワークによって実行される。
When Governments Attack: State Sponsored Malware Attacks Against Activists Lawyers and Journalists(政府が攻撃を行うとき: 活動家、弁護士、およびジャーナリストに対する政府支援のマルウェア攻撃) – OPSEC(運用上のセキュリティ)について学ぶよい機会かもしれない。
When the Cops Come A-Knocking: Handling Technical Assistance Demands from Law Enforcement(警察が訪ねてきたときは: 法執行機関から技術協力を求められた際の対処法) – 法執行機関から技術協力を求められたときはどうすればよいかについて、そうした問題に精通した数名の弁護士が解説する。
正直なところ、見てみたいトークセッションはもっとあるが、同時に9つのトークセッションが並行して行われるようなので、ここで紹介したものだけについても、すべてを見ることはできなさそうだ。ともあれ、今年のBlack Hatに行かれる方、ぜひ楽しんで来てください。
カテゴリ