はてなブックマーク

tl;dr; IDAPython の日本語チートシートできました!! チートシートを参考にするだけで、CTFの問題もシュッと解けます! Emotet の内部で使われている難読化文字列もシュッと戻せます!! Github にハンズオン用の検体とサンプルコード置いたから手を動かしてみたい方はぜひ試してね!!! https://github.com/minanokawari1124/idapython_exercise はじめに NFLabs. のソリューション事業部に所属している @strinsert1Na なるものです。普段は脅威インテリジェンスの生成やそれに伴うソフトウェアの開発を行っています。 本稿は NFLaboratories Advent Calendar 2022 の10日目、最終日の記事です。今年のネタ候補としては (1) IDAPython の話, (2) OpenCTI c

こんにちは、NFLabs. ソリューション事業部の saika です。この記事は NFLaboratories Advent Calendar 2022 の7日目の記事です。 はじめに 近年、Elastic のセキュリティ領域における進化には目覚ましいものがあります。今回は Elastic の EDR である Elastic Defend というものを少し触ってみたのでご紹介させてください。有償の機能もあるので一部機能だけのご紹介となること、また筆者に EDR の実運用経験がないため運用という視点がかけてること、ご承知いただければと思います。 Elastic には Elastic Agent というホスト上で稼働し様々なログやメトリクスを収集するエージェントツールがあります。Elastic Agent は監視対象のシステムに合わせて Integration と呼ばれる拡張機能を追加すること

この記事は NFLaboratories Advent Calendar 2022 6日目の記事です。 ソリューション事業部セキュリティソリューション担当の岩崎です。 多くのウェブサイトでは登録されたドメイン名を利用して構築されており、サブドメインを作成して構築されるケースも多いです。中には、開発環境や公開前のプロダクト用にサブドメインを作成して運用されているケースも多いです。 昨今、公開を前提としたサーバでは適切なセキュリティ設定や脆弱性診断などセキュリティ侵害を防ぐための対策が取られているケースが多いです。一方、開発環境や公開前のプロダクト用のサーバでは十分な対策が取られていないケースも多く見受けられます。 そこで今回はセキュリティ侵害から防御することを目的として、攻撃者視点でサブドメイン名列挙をする手法についてまとめてみました。 総当たり ゾーン転送 対策 Passive DNS 検

この記事は、NFLaboratories Advent Calendar 2022 4日目の記事です。 こんにちは、ソリューション事業部セキュリティソリューション担当の大沢です。 前回、NFLabs. エンジニアブログに『OpenCTIの日本語化にあたって』というタイトルで脅威インテリジェンスプラットフォームOpenCTIの話をさせていただきました。 今回はそのOpenCTIの検証中に検証サーバーをスクラップにした話をしようと思います。 教訓、あるいは TL;DR 『本番環境でやらかしちゃった人 Advent Calendar』を読もう！ 作業前のスナップショット作成は大事 Redisは自身のデータ領域以下のファイル・ディレクトリの所有者を全て UID=999 に変えてしまう ことの始まり OpenCTIは以下のリポジトリを git clone し、READMEに従って変数などを設定した後

この記事は、NFLaboratories Advent Calendar 2022 2日目の記事です。 NFLabs.の稲積です。 NFLabs.では、「世の中で必要とされるセキュリティエンジニアを増やしていきたい」という思いのもと、2022年7月より「セキュリティトレーニングプラットフォーム」の開発を始めました。 この記事では、開発スタートからの半年間を振り返るとともに、開発チームで行った取り組みについて紹介します。また、素早く開発を進める上での時間対効果をもとに、筆者の視点から見たチーム開発でのお役立ち度もお伝えします。 プロダクトビジョンボードの作成 インセプションデッキの作成 ユーザーストーリーマップの作成 スクラムによる開発 社内トライアル 1. 実際の社内部門に合わせてテストアカウントを作成する 2. 説明資料に想定するフィードバックの例を記載する 3. フィードバック項目のカ

この記事は、NFLaboratories Advent Calendar 2022 1日目の記事です。 こんにちは、研究開発部の保要 (@takahoyo) です。 弊社の公式Twitterでもアナウンスがあったとおり、7月に弊社のエンジニア14名でHack The Box 主催の Hack The Box Business CTF 2022 （以下、Business CTF）に出場していました。 #NFLabs エンジニア14名で企業対抗の #HackTheBox #BusinessCTF22 に参加し10位（日本企業1位）でした！ (参加チーム数 657、プレイヤー数 2,979) メンバーが協力して 24/37 の Flag を取得しました。 Fullpwn 3/8, Web 4/5, Pwn 2/5, Crypto 5/6, Rev 4/5, Forensics 4/5, Hard

TL;DR 日本語翻訳作業は表現や語彙の統一が大変 公式ドキュメントや著名な書籍をベースに専門用語を翻訳するのがいい はじめに こんにちは。 ソリューション事業部セキュリティソリューション担当の大沢です。 本ブログでは初めて出てくる部署名かもしれませんが、実は2022年10月に社内で組織再編があり、名前が変わったばかりの事業部です。 私のチームは普段はお客様向けに脅威情報の収集・分析支援を行っており、サイバー脅威インテリジェンス（CTI）プラットフォームの開発運用も業務の一環として行っています。 CTIプラットフォームといえばMISPを運用されている方が多いと思いますが、我々のチームでは、同じくOSSのCTIプラットフォームである OpenCTI を採用しています。 そして、1ヶ月ほど前に我々のチームでOpenCTIに日本語表示の機能を追加した Pull Request を送ったところ無事

こんにちは。NFLabs. 事業推進部の中堂です。 この記事は NFLabs. アドベントカレンダー9日目です。 今回は、Windows環境に対するペネトレーションテストで多用される「トークン偽装(Token Impersonation/Theft)」という攻撃テクニックについて解説したいと思います。 トークン偽装は、簡単に言えば別ユーザーになりすますことができる手法ですが、どのような仕組みになっているのでしょうか。 この仕組みを理解するにあたりまずアクセストークンについて焦点を当てたいと思います。 アクセストークンとは トークンの種類 偽装トークン トークンの権限借用レベル ログオンセッションとアクセストークン トークン偽装攻撃の方法 1. トークンの列挙 2. SeAssignPrimaryProcess権限の取得 3. 別ユーザーになりすましたプロセスの起動 トークン偽装攻撃の対策

TL;DR 2022年1月にクラウド(AWS)と向き合い始めてから、2022年7月23日までにAWSに関する全資格(2022/7/28日時点で12個)を達成しました。 本記事では、AWS認定の受験を始めてから半年ですべての認定試験を取得するまでの受験の流れや所感を解説していきます。 AWS12冠を取得されている方は以前よりも増えてきました。こんな人もいるんだ程度の気持ちで読んでもらえると嬉しいです( ﾟДﾟ) 当記事を読んだ方が少しでも「AWS認定を受けてみたい！」と思うきっかけになれば、著者は幸せです(*ﾉωﾉ)。 はじめに こんにちは(゜_゜>)。事業推進部教育研修担当の番場です。 蛇足ですが文系出身、2021年新卒入社の新米セキュリティエンジニアです。セキュリティという大海に溺れてから、犬かきができるようになったかな？くらいの新米です。 頼りになる諸先輩方に支えていただきながら、少し

こんにちは。事業推進部の廣田です。 NFLabs. アドベントカレンダー3日目ということで、 本稿ではssh接続時の二要素認証の実装について書いてみたいと思います。 はじめに 現在私はNTTコミュニケーションズ株式会社からNFLabs.に出向しているのですが、出向してくる前にNFLabs.が実施するセキュリティエンジニア育成研修カリキュラムを長期間みっちりこってりと受講してきました。 研修ではサーバ構築など基本的な内容からソフトウェア開発やペネトレーション等、セキュリティエンジニアに必須となるスキルを体系的に幅広く学ぶことができ、今回はサーバ構築の時に取り組んだ課題についてのお話です。 どんな課題だったの？ 研修課題の中でssh鍵認証を実装したWebサーバを構築したのですが、そこで追加課題として次のようなお題をいただきました。 構築したWebサーバをさらにセキュアに設定すること 脆弱な設定

tl;dr Software Design への寄稿を狙っている方は、ブログに技術をアウトプットしてみるとチャンスがある 連載初心者は体力に加えて精神への負担がめちゃデカい 技術のアウトプットにより誤りの指摘や炎上が発生する可能性もあるが、やってみると想像よりもポジティブなフィードバックが多かった はじめに 事業推進部の Defensive チームで働いている @strinsert1Na です。普段はチームメンバーに後ろ指を指されながら、脅威インテリジェンスの生成やそれに伴うソフトウェアの開発を行っています。 唐突ですが、Software Design 2022年8月号を以って『今日から始めるサイバー脅威インテリジェンス』の連載が終了しました。2022年3月号からの連載となりますので、サイバー脅威インテリジェンスに関する内容で、全6回に渡って寄稿したことになります。 サイバー脅威インテリジ

tl;dr 前半をサイバー脅威インテリジェンスの理論、後半をハンズオンの形式で全6回の連載をしてきました 連載は現実のインテリジェンス業務をなるべく反映させたものであり、戦術脅威インテリジェンスがアウトプットの中心になります 実態のよくわからないバズワードに飛びつかず、企業は自組織の体制と世の中の脅威を正しく理解するところからはじめましょう はじめに 本稿は前回の記事「無名のセキュリティエンジニアがたった2本のブログ記事からSoftware Designで連載をすることになった (非技術編)」の技術的内容部分を抜き出したものです。未読の方は先にそちらの記事を参考にしていただいた方が、内容を理解しやすいと思います。 blog.nflabs.jp 前回に引き続き @strinsert1Na です。事業推進部の Defensive チームで脅威インテリジェンスの生成やソフトウェアの開発をしていま

はじめに こんにちは。株式会社エヌ・エフ・ラボラトリーズ 学生インターンの田島です。 弊社では研究開発にてサイバー攻撃シミュレーションプラットフォームを開発していますが、現在このプラットフォームで使用されている攻撃シナリオをMetasploitで自動的に実行できるようにしています。 それに関連して、今回はMetasploitのモジュール開発の方法について解説をしたいと思います。 Metasploitの概要 Metasploitはペネトレーションテストのフレームワークです。Metasploit Frameworkの略でMetasploitがしばしば使われます。 オープンソースのプロジェクトでKali Linuxなどでは標準でインストールされており、脆弱性の検証でこのツールが用いられることが多いでしょう。 基本的な使われかた Metasploitを用いた脆弱性の検証は主に モジュール を介して

はじめに こんにちは。事業推進部でOffensive Teamを担当する永井です。 今回はアドベントカレンダーの11日目として、前回投稿した「macOSの暗号化zipファイルはパスワードなしで解凍できる」という記事に寄せられたコメントのうち、特筆すべきものをピックアップして回答していきます。 前回の記事を読んでいない方や、もう覚えてないという方は是非前回の記事を見てから続きを読んでいただければと思います。 Q. 正解するまでbkcrackを回さなくてもzip内のCRC32値と比較すれば良いのでは？ はい、その通りです。 筆者が前回の記事を書いている時には完全に失念していましたが、zip内にはファイル破損を検出するためにCRC32形式のハッシュ値が含まれています。そのため、bkcrackを正解パターンを引くまで都度回さなくても簡単に正解の.DS_Storeを見つけ出すことができます。 実際に

こんにちは。NFLabs. Offensive Teamの岩崎です。 本記事はNFLabs. アドベントカレンダー 10日目の記事となります。 近年、多くのWebサービスではCDN(Content Delivery Network)と呼ばれるWebコンテンツ配信サービスが利用されております。CDNは世界中に分散配置されたコンテンツサーバの中から、ユーザに対しネットワーク的に近いロケーションからコンテンツを返すことで効率的なコンテンツ配信(高速配信や多くのユーザへの同時配信など)を実現する技術です。 また、昨今はDDoS攻撃対策を目的としてオリジンサーバを秘匿する用途で利用されるケースも増えております。 本記事ではCDNのオリジンサーバのIPアドレス(以降、オリジンIP)を調査する方法について共有いたします。 特定方法 1. 特徴的なレスポンスを基にした調査 2. 関連するドメイン名の調査

はじめに こんにちは。事業推進部で教育研修を担当する成田です。この記事は NFLabs. アドベントカレンダー8日目です。 セキュリティ研修でOSINT（Open Source Intelligence : 公開されている情報ソースから入手可能なデータを収集・分析する技術）を教えることが多いのですが、今日はOSINTのテクニックの一つであるメタデータの収集について書いていきたいと思います。このメタデータには様々な情報が含まれており、例えば会社の公式サイトに掲載しているファイルにも、メタデータがそのまま残っている場合が結構あります。中には会社の機密情報が残っていたりも・・・。 今回は自分の会社からそういった情報が漏れていないかを確認する方法や、それを防止する方法について紹介します。 メタデータとは メタデータとは、そのデータに関する属性や関連する情報のことを指し、データの管理や検索など様々な

こんにちは。NFLabs. 事業推進部の野中です。 本記事はNFLabs. アドベントカレンダー 6日目の記事です。 平時はセキュリティ技術について記載することの多い本ブログですが、今回は視点を変えてネットワーク運用の観点からのお話をしたいと思います。 運用そのものについて語ると相当長くなってしまいそうなので、本記事では監視運用の中でもメジャーなトピックであり、なおかつ考慮し忘れてしまうことも多い「497日問題」にスポットを当ててご紹介します。 497日問題とは 簡単に言うと、システム稼働時間を32bitカウンターで計測している場合、497日でオーバーフローしてしまうという問題です。 32bitで扱える数値は、unsignedの場合 2の32乗 = 4294967295 が上限です。 システム稼働時間（uptime）は10ミリ秒単位で計測するものが多く、上記の上限値に当てはめると約4294

こんにちは。NFLabs. 事業推進部の橋本です。 本記事はNFLabs. アドベントカレンダー 2日目です。 はじめに 本日はセキュリティ監査を行う上で重要な情報であるWindowsイベントログ（セキュリティ監査）について記事を書いていこうと思います。 2日目の「2」にちなんで、実際に設定／運用する際のお悩みポイントを2択形式で紹介していきます。 2択その1 ではWindowsイベントログ（セキュリティ監査）のログ出力設定方法に関する2択を紹介します。 2択その2 ではログオンログの分析に関する2択を紹介します。 2択その3 では共有ファイルへのアクセスログ分析に関する2択を紹介します。 はじめに Windowsイベントログ（セキュリティ監査）とは 2択その1： 監査ポリシーの設定　～ 基本 or 詳細～ 2択その2： ログオンの監査 　～セキュリティ監査4624 or LocalSes

はじめに こんにちは。事業推進部でOffensive Teamを担当する永井です。 先日のApple発表会では新型のiPhoneやApple Watchなど心躍る製品が色々と発表されましたね。筆者は特に新型iPad miniが心に刺さっています。 さて、今回はApple関連の話として「macOSの暗号化zipファイルはパスワード無しで解凍できる」というネタについて書いていきます。 解凍できる条件 何を言っているんだと思われるかもしれませんが、macOSで作られた暗号化zipファイルは以下の2つの条件を満たす場合にパスワード無しで容易に解凍が可能です。 zipの暗号化方式がzipcryptoである (通常の暗号化zipファイルは基本的にzipcryptoが利用されています) zip内のいずれかのディレクトリの中身が.DS_Storeファイルおよび何らかのファイル1つである このうち1.は基本

こんにちは。NFLabs.のDefensive Teamです。 本記事では、我々のチームが行っている脅威情報収集および分析活動の一部を紹介します。 ただし、マルウェア解析・ログ分析といった技術的な内容やダークでディープなサイト紹介といった専門的な話題までは扱いません。 本記事のテーマとしては「脅威インテリジェンスを専門としていないようなエンジニアでも簡単に To Do に落とし込めて、尚且つ現場の人でも知見が得られるもの」に設定し、なるべく誰でも意味がわかる内容で書いていこうという趣旨です。 本記事は二部構成を予定しており、第一部を"脅威インテリジェンスとは何か?"といった導入部(本記事)、第二部を具体的なツールやサービス紹介といった実践部として紹介します。 本内容を通して、少しでも NFLabs. の Defensive Team が行っている活動が参考になれば幸いです。どうぞよろしくお

本記事は『今日からできるサイバー脅威インテリジェンスの話-導入編-』の続きであり、具体的なサイバー脅威情報の収集方法やプラットフォームについて紹介する記事です。 『サイバー脅威インテリジェンスって何?』という方がいらっしゃれば前の記事を参考にしてください。 Let's CTI 私が個人レベルでやっている CTI の活動を分類してみると、以下の3つの方法になると思います。 無料で利用できるインテリジェンスサービス・データベースを活用する オンラインサンドボックスを活用する SNS や外部のコミュニティを利用する それぞれ長所やカバーできる領域が異なるので、自分の興味や組織の CTI の目的に合わせてどの方法を取るべきか検討してみると良いでしょう。 では、詳細に説明していきます。 1. 無料で利用できるインテリジェンスサービス・データベースを活用する 世の中には優秀なインテリジェンス分析者がた