JSAC2023 開催レポート~DAY 2 Workshop~
JSAC2023の講演の様子を引き続きお伝えします。第3回はDAY2 Workshopについてです。
Surviving the hurt locker: or How I Learned to Stop Worrying and Love the Bom
講演者:LINE株式会社 Simon Vestin、二関 学
Simon氏、二関氏は、SBOMの説明およびSBOMを生成するプログラムを作成するハンズオンを行いました。SBOMとは、ソフトウェアやシステムを構成材料を列挙したものです。SBOMは、コンプライアンス・ライセンス管理や脆弱性管理に使用されており、複数の規格やタイプがあることを紹介いただきました。また、SBOMの作成方法として、モデリングを手動で行う方法やツールで自動化する方法を共有いただきました。
- DIY
- CycloneDX/cyclonedx-python-lib
https://github.com/CycloneDX/cyclonedx-python-lib
- CycloneDX/cyclonedx-python-lib
- Tools
- microsoft/sbom-tool
https://github.com/microsoft/sbom-tool - anchore/syft
https://github.com/anchore/syft
- microsoft/sbom-tool
本ワークショップのハンズオンは、VS Codeおよびdevcontainerで構築した環境上で、Pythonライブラリであるcyclonedx-python-libを用いて、用意されたプログラムのひな形の中で実装されていない関数を実装する形式で進められました。ハンズオンのチャレンジとしては以下の5つが用意されており、それぞれのSBOMを生成しました。
- Parsing requirements.txt (Python)
- Parsing gradle.lockfile (Java / Gradle)
- Site package based SBOM generation (Python)
- Runtime SBOM in Java
- SBOM based vulnerability detection with OSV
なお、本ワークショップの内容および、ハンズオンで使用されたdevcontainerに関しては、下記GitHubで公開されています。
https://github.com/ninoseki/jsac2023-sbom-workshop
Detection engineering with Sigma: Defend against APT targeting Japan
講演者:株式会社サイバーディフェンス研究所 中島 将太、NTTセキュリティ・ジャパン株式会社 小池 倫太郎
中島氏、小池氏は、日本の組織や企業を狙った事例をもとに公開済みのTTPsを用いてSigmaルールを作成するワークショップを行いました。Sigmaは、さまざまなログに対して適用することが可能な汎用的なシグネチャ記述フォーマットで、さまざまな製品で使用できる検索クエリ(検知ルール)に変換することができます。ワークショップ内では、VirusTotalのサンドボックスのログに対しても、ルールを適用できることが紹介されました。また、Sigmaルールのフォーマットに関して説明された後、Sigmaルールを処理可能なツールとして下記を共有いただきました。
- Chainsaw
https://labs.withsecure.com/tools/chainsaw - Zircolite
https://github.com/wagga40/Zircolite - Hayabusa
https://github.com/Yamato-Security/hayabusa - Uncoder
https://uncoder.io/ - VS Code Extension
https://marketplace.visualstudio.com/items?itemName=humpalum.sigma
本ワークショップのハンズオンでは、Sysmonのログを分析し、Sigmaルールを作成しました。Sigmaルールを記述する際には、VS Code Extensionを使用し、作成したSigmaルールをWindowsイベントログの解析ツールであるChainsawを用いて検知可能かチェックするという流れで行われました。実際に作成したSigmaルールの事例としては、日本を対象とした以下の攻撃が取り上げられました。
- LODEINFO DLL Side-Loading
- Operation RestyLink LNK file
- Lazarus Operation SnatchCrypto VHD and Files
- TA410 FlowCloud
- BlackTech HPIDoor
Sigmaルールの作成では、ハッシュ値やネットワークといったIoC情報を利用するのではなく、変更されづらい特徴を把握する必要があると述べました。
おわりに
JSAC2023では、2023年2月20日にAfter JSAC2023を開催し、ベストスピーカー賞および、Special Recognition Awardの表彰を行いました。ベストスピーカー賞は、参加者の皆さまからいただいたアンケートをによって選定されました。新たに新設したSpecial Recognition Awardは、CFPレビューボードの話し合いによって決定しました。ベストスピーカー賞およびSpecial Recognition Awardに選ばれた発表は以下のとおりです。
ベストスピーカー賞
タイトル : 公開情報により攻撃動向の予測を行う新たな試みと調査手法の共有
講演者 : 株式会社マクニカ 瀬治山 豊
Special Recognition Award
タイトル : 進化するGo言語製マルウェアとどう戦うか?: 解析能力向上に向けての実践的テクニック
講演者 : 株式会社FFRIセキュリティ 桑原 翼
最後に、JSAC2023の参加者の皆さま、本レポートをご覧いただきました皆さまにこの場を借りてお礼申し上げます。
インシデントレスポンスグループ 寺本 健悟
