CTF問題「マルウェアの作成した自動起動設定を発見せよ」から学べる知識とは:CTF問題から学ぶセキュリティ基礎知識(4)
情報セキュリティの技術を競うコンテスト「CTF」の問題から情報システムの仕組みやセキュリティを理解する連載。第4回は、「マルウェアの作成した自動起動設定を発見せよ」という問題について解説します。
情報セキュリティの技術を競うコンテスト「CTF(Capture The Flag)」は、セキュリティ教育や優秀な人材発掘に役立てようとする組織や企業で注目される、実践的な学習の環境でもあります。本連載「CTF問題から学ぶセキュリティ基礎知識」では、筆者が所属する会社で実施している社内向けのセキュリティコンテスト(CTF)の問題を中心に毎回一問一答をしていきます。
今回は、インシデントレスポンスチームの一員になって社内のセキュリティインシデントに立ち向かうシチュエーションの問題です。普段の業務でインシデントレスポンスを担当している方は少ないかもしれませんが、このようなコンテストの問題を通して、現実のマルウェアの挙動を体験することができます。
問題
今回は「フォレンジック」ジャンルの問題です。記事の都合上、きちんと調査をするには少し情報が足りないかもしれませんが、どのような方針で解答するのかを考えてみましょう。
ジャンル:フォレンジック
あなたは、インシデントレスポンスチームの一員です。チームの先輩から、次のようにメールで指示がありました。
「あるPCがマルウェアに感染した。至急、添付のファイルからマルウェアのエントリを見つけてくれ」
添付ファイルは、「Autoruns」というソフトウェアの実行結果のようです。あなたは、「なるほど、マルウェアが永続化のために作成した自動起動設定を探るのだな」と、先輩の指示を理解しました。添付ファイルから、マルウェアによって作成されたと思われるエントリを全て探してください。
【注意】この問題の解答は特定の形式の文字列ではありません。マルウェアによって作成されたと思われるエントリ名(Autoruns上の「Autorun Entry」、XMLファイル上の「itemname」に該当する部分)を全て解答してください。
※画像は各添付ファイルの一部を抜粋
この問題から学べる知識
この問題に取り組むことで、以下のようなセキュリティに関する知識を学ぶことができます。
- マルウェアの永続化とその方法
- 不審なプログラムの特定方法
問題の解き方
前提としてCTFは、その名の通り、「フラグ」を見つけることが正解の条件です。フラグは、大会ごとに決められた特定の形式の文字列である場合が多いですが、今回の問題は文字列の形式に指定がなく、「発見したエントリを全て解答する」方式です。
解き方の方針
マルウェアが永続化のために作成した自動起動設定とは、感染したPCがシャットダウンされた場合にも起動時に再度マルウェアを実行させるための設定のことです。全てのエントリの中から信頼できるソフトウェアを除外していくと、マルウェアによって作成された不正なエントリを特定できます。与えられた添付ファイルの内容を確認し、注目すべきエントリを抽出してみましょう。
自動起動設定データの確認
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
リクルートのCSIRTが、マルウェア対策の一部を内製化した理由
本連載では、ランサムウェアを含む「マルウェア感染」という、さまざまな企業が頭を悩ませる問題について、リクルートグループのコンピュータインシデント対応チーム「Recruit-CSIRT」の発想と技術をお伝えする。
RPAのセキュリティを確保するための4つのステップ
セキュリティとリスク管理のリーダーは、RPAプロジェクトのセキュリティ対策を実施することで、RPA導入に伴う業務不正やデータの漏えいに備える必要がある。本稿では、RPAのセキュリティを確保するための4つのステップを紹介しよう。
セキュリティ業務における「ログ」の基礎知識――なぜ分析基盤が必要なのか
セキュリティ業務における「ログ」と、その分析基盤の活用について解説する連載。初回は、セキュリティログに関する基礎知識や分析基盤に求められることなどについて。