mmash -h

【Becoming The Hacker 読書メモ】第1章

基本的に、ペンテスターやレッドチームといった、システムや組織に対して攻撃をしかける側のお話。

第1章で出てくるのは、

  • 診断を実行する際の交戦規定(Rules of Engagement, ROE)
  • 診断者のツールキットの紹介
  • プロキシツール
  • クラウドの利用

診断を実行する際の交戦規定(Rules of Engagement, ROE)

ROEは通常、設定された業務を遂行する前に取り決められる文書である作業範囲記述書(Statement of Work、SOW)に記述されており、診断者はこれに基づいて行動しなければいけない。

診断者はクライアントとのコミュニケーションを円滑にとることがとても重要で、キックオフやクロージングのミーティングは大事にするべきである。クライアントから誰が診断するのか見えるようにしておくべきだし、診断者側も、誰にコンタクトを取ればいいのか明らかにしておくべきである。特に緊急時には重要である。

プライバシーにも配慮をするべきである。例えば従業員の家族の情報を、フィッシングメールに引っ掛けるために使うようなモラルに反するソーシャルエンジニアリングを行うことや、取り扱いには注意が必要なユーザデータを持ち出すこと、ユーザマシーンのスクリーンショットをとること、ユーザのアカウントになりすまして行為を働くことはするべきではない。

診断が無事成功に終わっても、最後に片づけを行わないと完了したとは言えない。というのは、診断を実行した際のたくさんのトレースやログがシステム内に残されており、その記録は攻撃者がどのように侵入してくるかをクライアントに明かしてしまうからである。しかしながら、その行動履歴によってブルーチーム(セキュリティを防衛するチーム)が分析をおこなったりすることができるので、役に立つときもある。

だがこれ以外の生成物、例えばOSへのアクセスを可能にするWeb Shell、マルウエアやリバースシェル、権限エスカレーションが可能なエクスプロイトコード、コードの改変によりバックドアを取り付けられたアプリケーション、クロスサイトスクリプティングXSS)のペイロードについては、ユーザを思わぬリスクにさらすこととなるので、完全に削除すべきである。

診断者のツールキットの紹介

ひたすらツールの紹介をするコーナー。 -Kali Linux

プロキシツール

トラフィックを途中でとめて編集したり、リプレイしたり、記録することができるツール。以下の二択。

  • Burp Suite

    • 拡張性も高い。機能を実現するひとつひとつのモジュールの集まりでできている。フリーバンと有料版があるが、有料版も投資に値する(らしい)。
  • OWASP Zed Attack Proxy, ZAP

    • Burp Suiteにある機能が一部なかったりするけど、こちらも有能。

クラウドの利用

診断者にとって、C2サーバ(Command & Controlサーバ)を利用するのはごく普通のことである。ターゲットとなる環境でマルウエアを起動するコマンドを実行する際に使う。 どこからでもアクセスできるC2環境を用意しておくことは、非常に役に立つ。