『setodaNote CTF』のOSINT問の復習/setodaNoteCTF_OSINT

Transcript

1. 『setodaNote CTF』のOSINTカテゴリ
   の復習
   第14回 初心者のためのセキュリティ勉強会（オンライン開催）
   meow ( @meow_noisy)
   2021/12/21(火)
   

   View Slide

2. 概要
    2021年8～9月に国産のCTFである『setodaNote CTF』に
   参加
    OSINTカテゴリを解いた
    解きっぱなしになっていたので、復習を行った
   

   View Slide

3. おしながき
    OSINTとは(いつもの)
    setodaNote CTFについて
    setodaNote CTFのOSINTカテゴリの問題の紹介
    おわりに
   

   View Slide

4. OSINT(Open Source Intelligence)とは
   過去のスライドと同様です
   

   View Slide

5. インテリジェンスとは
   情報A
   情報B
   入手した情報
   情報X
   入手していない情報
   情報C
   情報統合
   情報分析
   情報C1
   情報C2
   情報D
   こんな情報があるはず(仮説)
   情報E ・・・
   情報の価値
    複数の情報を分析・統合・仮説の検証などを経て、より利用価値のある情報に
   昇華させる行為を指す
    OSINT: オープンソースの情報に基づいてインテリジェンスを行うこと
   情報を元に最終的な
   意思決定へ
   例) 情報ZからプランPを実
   施するのがよい
   Security Days 2021「OSINT:ハッカーから見えるインターネットの世界」
   の講演内容を元に作成
   

   View Slide

6. CTFにおけるOSINTについて
   お題から分析できる情報と公開情報、個人の仮説を組み合わせる
   ことで、フラグを導き出す形式の問題
   入手した情報
   情報統合
   情報分析
   自販機が多い、
   ビールケース、
   この建物は
   酒屋では?(仮説)
   “西日暮里3丁目 酒屋”
   情報の価値
   フラグ: 谷中
   オープンソース
   Google Street View
   “西日三”とい
   うラベル
   問題例. 左下の画像の撮影場所を特定せよ
   Digital Overdose 2021 Autumn CTFより
   

   View Slide

7. setodaNote CTFについて
   

   View Slide

8. setodaNote CTFとは
    公式の紹介ページより引用
    “サイバーセキュリティに興味を持ち始めた人がより深い興味を抱き自ら学
   び進めていけるよう、好奇心や探究心を喚起するコンテンツの提供を通じ
   て、サイバーセキュリティの裾野を広げることを目的としたCTF”
    URL: https://ctf.setodanote.net/
    作問者
    soji256氏
    氏の運営するブログの名前が「setodaNote」である
    出題カテゴリ(9つ)
    Pwn, Rev, Programing, Crypto, Forensics, OSINT, Web, Network, Misc
    開催期間
    2021/08/21 ～ 2021/09/04
    常設ではないが、CTFサーバへは未だにアクセス・解答可能
   

   View Slide

9. OSINTカテゴリに関して
    全10問
    多種多様な媒体がお題として
   与えられ、OSINTする
    お題はそれぞれ独立している
    実務の観点からも役に立つとの声がある
    ”特にForensics、Network、OSINTの問題は実践的な問題が多く、
   実際のサイバーセキュリティの業務でも役に立つ問題が多くて楽し
   かったです。”
    setodaNote CTF Writeup - Tahoo!!
    https://takahoyo.hatenablog.com/entry/2021/09/10/164917
   

   View Slide

10. setodaNote CTFのOSINTカテゴリの
    問題の紹介
    一部をピックアップして紹介する
    

    View Slide

11. tkys_with_love (30pt)
     コールサイン”C6DF6”で
    Web検索すると、船のペー
    ジが出てくる
     flag{Symphony_of_the_Seas}
    

    View Slide

12. tkys_with_love (30pt)
     問題自体は簡単に解けるが、問題の背景としては
    Maritime OSINTを想定しているのではないかと考える
     港の情報や船の運行状況、船員のプロフィールはオープン
    ソースであり、インテリジェンスの材料としても使われる
     貨物船のデータから国の経済状況を把握、など。
    MarineTraffic.comで横浜あたりの状況を可視化。
    いつどこにどの船がいてどこに向かっているかなどを把握可能
    問題に出てきた船のコールサインで検索すると、現在いる場所がわかる
    (そして、私が資料を作っている時間も特定される)
    

    View Slide

13. Dorks (50pt)
     “Google Dorks(Hacking)”
     Googleで検索オペレータを
    駆使して有益な情報を得る
    テクニック
     公開されてはいけない情報
    を探す時に役立つ
     flag{inurl:login.php}
    

    View Slide

14. Dorks (50pt)
     Google Dorksにまつわる今年の関連ニュース
     2021年4月: とある企業のTrello上で管理していた人事情報が
    誰からでも閲覧可能な状態で公開されていた件
     GHDBを見る限り、話題のクエリは2017年から登録されて
    いた
    

    View Slide

15. N-th_prime (200pt)
     72,057,594,037,927,936
    = 2の56乗に当たる数
     Webで見つかった素数の
    数え上げを行うコードを実
    行するも、さすがに現実的
    ではないと判断
     「なんらかのツールを探す
    OSINT問なのではないか」
    という方針で解くことにし
    た
    

    View Slide

16. N-th_prime (200pt)
     いろいろGoogle検索でツールを探す
     「nth prime algorithm」で探した時にstack overflowの
    ページがヒットしツールが見つかる
     https://stackoverflow.com/questions/44734806/better-
    algorithm-to-find-nth-prime-number
     お題の桁数ならば実時間で解けることが判明
     ツールを実行
     flag{2991614170035124397}
    https://github.com/kimwalisch/primecount
    

    View Slide

17. N-th_prime (200pt)
     他の方のwrite-upを読む
     OSINTで解けることが判明
     OEIS(オンライン整数列大辞典)というものがある模様
     https://oeis.org/
     ”2 3 7…”と2のべき乗番目の素数を列にして検索すると、
    そのようなテーブルがヒットする
    https://oeis.org/A033844/b033844.txt
    

    View Slide

18. identify_the_source (250pt)
     「tsuru」という名前の
    ファイルが添付されていた
     lessコマンドでファイルを
    確認
     大量のTSURUというテキス
    トの最後に” The flag was
    written on a website
    where you would have
    been able to download this
    file.”と書かれていた
    

    View Slide

19. identify_the_source (250pt)
     「マルウェア解析サイト」がどこかを探すことに
     ここでhiro(@ctrl_z3r0)さんの講義資料が役に立つ
     『OSINTによるマルウェア調査ハンズオン』
     https://speakerdeck.com/ctrl_z3r0/investigating-malware-20191030
    

    View Slide

20. identify_the_source (250pt)
     上から順にサイトにファイルをアップロード
     ※マルウェアのOSINTにおいてファイルアップロードはしない方がよい
    ことを後に知る(後述)
     件のURLはHybrid-analysisにて加工された状態で発見
    

    View Slide

21. identify_the_source (250pt)
     URLにアクセス
     nginxの404メッセージ
     しかし “nice try!”とのこと
     URLはtsuruというリソースを指していたのでindex.htmlを
    見てみる
     NO DATAというメッセージが出るが、
    一番下までスクロールすると、”The flag is no longer here.”
    というメッセージが隠れている
     Webページで”no longer”と来たらやることは1つ
    

    View Slide

22. identify_the_source (250pt)
     WaybackmachineでURLを検索
     “The flag is no longer here.”からメッセージが変わっている日付
    を探す
     メッセージが存在しないものがあった
     ソースを確認したところコメントアウトでフラグが書いてあった
    

    View Slide

23. identify_the_source (250pt)
     ファイルアップロードによる検査は情報漏えいリスクがある
     アップロードされたファイルの情報は誰でも閲覧可能になるため
     独自調査の前にまず自社のセキュリティルールに従う
    https://twitter.com/takahoyo/status/1434156747371859978
    • VirusTotalやANY.RUNなどのオンラ
    イン検査サービスへのファイルアッ
    プロードは基本行わない
    • ファイルの確認をする場合は、ハッ
    シュ値で検索
    • 対策部署への連絡を視野に入れる
    VirusTotal, ANY.RUNなどのオンライン検査サービス利用における注意点 -
    セキュリティ猫の備忘録
    https://nekochansecurity555.hatenablog.com/entry/2020/07/08/2
    00739
    

    View Slide

24. おわりに
    

    View Slide

25. 解いた感想
     おもしろかった(小並感)
     さまざまな対象へインテリジェンスを行うことができて、
    非常に勉強になった
     企画・運営ありがとうございます!
     OSINT問の良問としてお勧めしていく予定
    

    View Slide

26. まとめ
     『setodaNote CTF』のOSINTカテゴリの問題を復習した
     CTFの趣旨の通り、問題を解くことによる学びが多かった
    

    View Slide

27. おまけ: 来月(1月)のOSINT CTF
     HACKTORIA | OSINT CTF
     開催日 2022年1月1日 🎍
     その他は不明
     興味のある人は twitter @hacktoria をフォローしよう!
    

    View Slide

28. 参考文献
     setodaNote CTF Writeup (OSINT) - Tahoo!!
     https://takahoyo.hatenablog.com/entry/2021/09/09/235144
     Open Source Intelligence (OSINT): Tracking Marine
    Traffic Around the World
     https://www.hackers-arise.com/post/open-source-intelligence-
    tracking-marine-traffic-around-the-world
    

    View Slide

29. ご清聴ありがとうございました
    @meow_noisy
    

    View Slide