JSAC2024 -Taller y charla relámpago- – JPCERT/CC Eyes
Seguimos presentando las charlas en JSAC2024. Este tercer número cubre talleres y charlas relámpago.
Introducción a la investigación del acceso no autorizado a la nube
Ponentes: Hayate Hazuru y Takahiro Yamamoto (ITOCHU Cyber & Intelligence Inc.), Norihide Saito (Flatt Security Inc.), Daisuke Miyashita (Sterra Security Co.,Ltd.)
Hayate, Takahiro, Norihide y Daisuke explicaron cómo funciona la nube y los métodos de ataque dirigidos a la nube en su taller, seguido de una demostración de investigación de registros basada en un incidente de seguridad real. En primer lugar, explicaron las técnicas de manipulación y autenticación de recursos, así como los procesos en el contexto de las técnicas de ataque y defensa de la nube. Al llamar a las API, los recursos en la nube se pueden administrar en varias interfaces, como GUI y CLI. También abordaron la funcionalidad de autenticación y autorización a través de IAM (IdP) en términos de otorgamiento de tokens y autorización de operación usando AWS como ejemplo. A continuación, se describieron las técnicas de ataque a la nube con numerosos estudios de casos. Los ejemplos típicos incluyeron phishing de consentimiento, que insta a los usuarios a autenticar a un cliente malicioso, y phishing de código de dispositivo, que explota la autorización del dispositivo para generar tokens para las víctimas, así como violaciones de la cadena de suministro de software, publicación de bibliotecas falsas o manipulación de bibliotecas legítimas. Proteger credenciales como claves API y tokens es crucial para la seguridad de la nube, y cualquier recurso está en riesgo si sus credenciales son robadas. Con base en la explicación anterior, se brindó capacitación práctica sobre cómo responder a un incidente en un sitio de comercio electrónico creado en la nube, utilizando registros de Amazon GuardDuty, Falco, CloudTrail y otras fuentes. Se dieron algunos detalles sobre cómo investigar una serie de ataques, desde la intrusión inicial hasta la escalada de privilegios, la persistencia y la filtración de datos. Finalmente, enfatizaron la importancia de comprender las especificaciones de cada nube y asegurar la huella del contenedor. Al utilizar servicios administrados como Fargate o aplicar configuraciones de escalado automático, los usuarios deben verificar si se puede acceder a los archivos de registro y asegurarse de que no se hayan eliminado.
Seguimiento de infraestructura con Mihari
Ponente: Manabu Niseki
Manabu llevó a cabo un taller sobre Mihari, una herramienta de monitoreo que funciona con una variedad de servicios para recopilar y analizar inteligencia sobre amenazas y procesar datos de múltiples fuentes. Mihari se conecta con varios servicios como Shodan, Censys y VirusTotal para crear reglas de búsqueda y almacenarlas en una base de datos. También genera automáticamente resultados de búsqueda en la base de datos y notifica a los usuarios a través de webhooks, etc. Se presentó un archivo yml que ayuda a buscar servicios con títulos, puertos, etc. específicos, que contiene valores hash HTML y números de serie de certificados SSL, que son las reglas. para encontrar páginas de destino para MoqHao, el malware de Android. También se refirió a la detección de amenazas y la automatización de escaneos de red vinculados a la herramienta de escaneo Nuclei. El entorno del taller se puede configurar utilizando Docker y Visual Studio Code. La descripción detallada de Mihari y los ejercicios están disponibles en GitHub a continuación.
https://ninoseki.github.io/jsac_mihari_workshop/setup/
Técnicas y prácticas de investigación en superficies de ataque externas
Ponentes: Kenzo Masamoto, Takeya Yamazaki, Yutaka Sejiyama, Takeshi Teshigawara (Macnica, Inc.)
Kenzo, Takeya, Yutaka y Takeshi presentaron un taller sobre EASM (Gestión de superficie de ataque externo), una iniciativa para comprender y gestionar los activos conectados a Internet (por ejemplo, dispositivos y servidores de red) que recientemente desencadenan delitos cibernéticos, como la infección por ransomware. Comenzaron la presentación con una breve descripción de la ASM y los antecedentes de la necesidad de EASM, explicando el porcentaje de incidentes que se han originado en activos conectados a Internet en los últimos años. En las grandes empresas, los oradores enfatizaron que es importante identificar los activos y gestionar los parches y que los incidentes a menudo son provocados por sus oficinas en el extranjero. Luego brindaron capacitación práctica sobre cómo evaluar el riesgo de estos activos después de la identificación, cómo realizar un análisis de riesgo eficiente y cómo determinar si existen vulnerabilidades críticas. Mencionaron la importancia de identificar los activos, asignar el administrador de activos y una comunicación fluida con ellos, así como crear un mecanismo automatizado para evitar errores de investigación. En resumen, destacaron que la audiencia debe ser consciente de sus activos vulnerables mantenidos no sólo en Japón sino también en sucursales en el extranjero, implementar correctamente contramedidas de riesgo y utilizarlas para mejorar su propia seguridad y gobernanza.
¿Dónde está “ese” anti-depuración? Introducción de AntiDebugSeeker
Ponente: Takahiro Takeda
Diapositivas (inglés)
Takahiro presentó AntiDebugSeeker, una herramienta que identifica automáticamente funciones antidepuración en malware. AntiDebugSeeker no solo extrae las API de Windows que pueden ser utilizadas por malware, sino que también extrae otras funciones antidepuración que no pueden identificarse únicamente mediante llamadas a la API de Windows mediante el uso de palabras clave como desencadenantes. Se explicó el método de detección y el funcionamiento de la herramienta mediante demostraciones. Mostró cómo agregar palabras de detección, lo que permite una búsqueda flexible de palabras clave. La herramienta también muestra los resultados de la detección en una lista resaltada, salta a funciones específicas desde los resultados de la búsqueda y muestra descripciones de funciones. Esta herramienta IDA está disponible en la siguiente URL y actualmente se está desarrollando una versión de Ghidra.
https://github.com/LAC-Japan/IDA_Plugin_AntiDebugSeeker
Analizador de scripts de PowerShell maliciosos Z9
Ponentes: Maya Hyakuzuka, Issei Takenaka
Diapositivas (inglés)
Maya e Issei hicieron una presentación sobre z9, una herramienta para determinar si un script de PowerShell de destino es potencialmente malware. Existen muchos desafíos al analizar el malware PowerShell, ya que se ejecuta sin archivos y está ofuscado de múltiples maneras. La función z9 ejecuta el script de PowerShell de destino en un entorno limitado y recopila sus registros de eventos de Windows. Identifica malware basándose en los siguientes elementos:
- Invocar comando de expresión
- Lista negra
- Puntuación por regresión logística
- Porcentaje de símbolos
- Cadenas aleatorias
- URL de COI
En su charla se aclaró el mecanismo de detección y el resultado fue que la herramienta fue capaz de detectar correctamente el malware en más del 70% de los casos. La herramienta está disponible en la siguiente URL:
https://z9.shino.club/
https://github.com/Sh1n0g1/z9
Evitar los filtros antifraude con una infraestructura de proxyware moderna: lo que vimos en los datos y cómo configuramos el honeypot
Orador: ChenYu «GD» Dai
GD analizó la actividad delictiva utilizando representantes locales. El contenido sólo estaba disponible para la audiencia en el sitio.
Utilización de las perspectivas de ataque y defensa de LDAP en Active Directory
Ponente: Michio Uyama
Michio describió LDAP, que se utiliza como parte de los ataques a Active Directory, y cómo se consulta, verifica y utiliza en la búsqueda de amenazas. Enfatizó que Active Directory es un objetivo importante en APT, donde el acto de reconocimiento conduce a una infracción y que los atacantes utilizan LDAP para estas actividades en las primeras etapas de los ataques contra Active Directory. Como LDAP se utiliza en ataques Kerberoasting para recuperar información de cuentas de servicio, proporcionó ejemplos de consultas LDAP características utilizadas para actividades de reconocimiento y explicó en qué deberían centrarse los defensores. Continuaría investigando cuestiones a tener en cuenta en la caza de amenazas y la eficacia de los señuelos.
Historia de fondo del lanzamiento de Smishing Monitor
Orador: Yutaka Tsuge
Yutaka describió Smishing Monitor, un sitio web para concienciar a los usuarios generales sobre el fraude por SMS. Hay dos tipos de filtrado de SMS en Japón: firewalls y aplicaciones cliente. El primero no permite a los usuarios comprobar los SMS, por lo que el impacto de los falsos positivos es alto, mientras que el segundo permite a los usuarios comprobar los SMS, por lo que el impacto es bajo. A continuación, se mencionaron las características y tendencias del smishing. Los atacantes suelen utilizar el malware para Android MoqHao (XLOADER) y KeepSpy y envían SMS que se hacen pasar por servicios de mensajería durante el día y por la noche, operadores de telecomunicaciones e instituciones financieras. Las tácticas de los atacantes se han vuelto recientemente más sofisticadas, con SMS asociados con eventos como Navidad y el texto parece natural. Mencionó que el servicio de monitorización de smishing, “Scam SMS Monitor”, se lanzó durante el Mes de la Seguridad Cibernética en Japón.
https://smon.tobila.com(Japonés)
Conocimientos y problemas de la implementación de decisiones automáticas de exploits en repositorios públicos
Ponente: Masaya Akagi
Masaya analizó un método para la detección temprana y precisa de códigos de explotación de GitHub utilizando IA. Como antecedente de esta investigación, mencionó que tanto la cantidad de CVE-ID emitidos como la cantidad de códigos de explotación están aumentando, y que los códigos de explotación en GitHub se publican aproximadamente un mes antes que en otros archivos importantes. Afirmó que al clonar automáticamente repositorios publicados en GitHub y adaptar un método usando LightGBM, era posible detectar automáticamente si el código era un código de explotación con una precisión de más del 90%. En el futuro, afirmó que le gustaría implementar un análisis dinámico de archivos de script y archivos binarios, y mejorar el juicio de la IA mediante el reaprendizaje de falsos positivos.
Para concluir
El 7 de marzo de 2024 se llevó a cabo “After JSAC 2024” y se entregó el Premio al Mejor Orador y el Premio de Reconocimiento Especial. El mejor orador fue seleccionado en base a los comentarios de los participantes. Los ganadores del Premio de Reconocimiento Especial fueron seleccionados por la Junta de Revisión de la CFP. Los premiados son los siguientes:
Premio al mejor orador
Título: Introducción a la investigación del acceso no autorizado a la nube Oradores: Hayate Hazuru y Takahiro Yamamoto (ITOCHU Cyber & Intelligence Inc.), Norihide Saito (Flatt Security Inc.), Daisuke Miyashita (Sterra Security Co.,Ltd.)
Premio de reconocimiento especial
Título: El lado oscuro de VSCode ~ Cómo el atacante abusa de VSCode como RAT ~ Oradores: Shuhei Sasada y Hayate Hazuru (ITOCHU Cyber & Intelligence Inc.)
Nos gustaría agradecer a todos los participantes de JSAC2024 y a todos los que leyeron este informe.
Kyosuke Nakamura (Traducido por Masa Toyama)