検索
連載

CTF問題「マルウェアの作成した自動起動設定を発見せよ」から学べる知識とはCTF問題から学ぶセキュリティ基礎知識(4)

情報セキュリティの技術を競うコンテスト「CTF」の問題から情報システムの仕組みやセキュリティを理解する連載。第4回は、「マルウェアの作成した自動起動設定を発見せよ」という問題について解説します。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 情報セキュリティの技術を競うコンテスト「CTF(Capture The Flag)」は、セキュリティ教育や優秀な人材発掘に役立てようとする組織や企業で注目される、実践的な学習の環境でもあります。本連載「CTF問題から学ぶセキュリティ基礎知識」では、筆者が所属する会社で実施している社内向けのセキュリティコンテスト(CTF)の問題を中心に毎回一問一答をしていきます。

 今回は、インシデントレスポンスチームの一員になって社内のセキュリティインシデントに立ち向かうシチュエーションの問題です。普段の業務でインシデントレスポンスを担当している方は少ないかもしれませんが、このようなコンテストの問題を通して、現実のマルウェアの挙動を体験することができます。

問題

 今回は「フォレンジック」ジャンルの問題です。記事の都合上、きちんと調査をするには少し情報が足りないかもしれませんが、どのような方針で解答するのかを考えてみましょう。

ジャンル:フォレンジック

 あなたは、インシデントレスポンスチームの一員です。チームの先輩から、次のようにメールで指示がありました。

 「あるPCがマルウェアに感染した。至急、添付のファイルからマルウェアのエントリを見つけてくれ」

 添付ファイルは、「Autoruns」というソフトウェアの実行結果のようです。あなたは、「なるほど、マルウェアが永続化のために作成した自動起動設定を探るのだな」と、先輩の指示を理解しました。添付ファイルから、マルウェアによって作成されたと思われるエントリを全て探してください。

【注意】この問題の解答は特定の形式の文字列ではありません。マルウェアによって作成されたと思われるエントリ名(Autoruns上の「Autorun Entry」、XMLファイル上の「itemname」に該当する部分)を全て解答してください。


【添付ファイル1】autoruns_output.arn


【添付ファイル2】autoruns_output.xml

※画像は各添付ファイルの一部を抜粋


この問題から学べる知識

 この問題に取り組むことで、以下のようなセキュリティに関する知識を学ぶことができます。

  • マルウェアの永続化とその方法
  • 不審なプログラムの特定方法

問題の解き方

 前提としてCTFは、その名の通り、「フラグ」を見つけることが正解の条件です。フラグは、大会ごとに決められた特定の形式の文字列である場合が多いですが、今回の問題は文字列の形式に指定がなく、「発見したエントリを全て解答する」方式です。

解き方の方針

 マルウェアが永続化のために作成した自動起動設定とは、感染したPCがシャットダウンされた場合にも起動時に再度マルウェアを実行させるための設定のことです。全てのエントリの中から信頼できるソフトウェアを除外していくと、マルウェアによって作成された不正なエントリを特定できます。与えられた添付ファイルの内容を確認し、注目すべきエントリを抽出してみましょう。

自動起動設定データの確認

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  2. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  3. 商用国家安全保障アルゴリズム(CNSA)の期限となる2030年までに暗号化/キー管理サービス市場が60億ドルに達するとABI Researchが予測 急成長の要因とは?
  4. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  5. Google、オープンソースのセキュリティパッチ検証ツール「Vanir」を公開 多種多様なAndroidデバイスの脆弱性対応を支援するアプローチとは
  6. 高度なAIでAIをテスト OpenAIが実践するAIモデルのレッドチーム演習とは
  7. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  8. 「SQLite」のゼロデイ脆弱性、GoogleのAIエージェントが見つける AIは脆弱性調査の課題をどう解決したのか?
  9. 従業員は「最新のサイバー脅威との戦い」を強いられている セキュリティ教育に不満を持つ理由の1位は?
  10. 堅調なID管理や認証、脅威インテリジェンスなどを抑え、2024年上半期で最も成長したセキュリティ分野は?
ページトップに戻る