総関西サイバーセキュリティLT大会(第30回)のまとめ
総関西サイバーセキュリティLT大会(第30回) に参加を申し込みました! sec-kansai.connpass.com/event/229603/?… #sosailt
2021-12-06 15:09:4712/8 (水) 20時から「もっと身近な DDoS 攻撃」というタイトルでお話しさせていただきます。ご参加お待ちしてまーす! 総関西サイバーセキュリティLT大会(第30回) - connpass sec-kansai.connpass.com/event/229603/ #sosailt
2021-12-06 19:45:11総関西サイバーセキュリティLT大会(第30回)に参加を申し込みました! sec-kansai.connpass.com/event/229603/?… #sosailt
2021-12-06 21:59:16総関西サイバーセキュリティLT大会(第30回) に参加を申し込みました! sec-kansai.connpass.com/event/229603/?… #sosailt
2021-12-07 00:22:50総関西サイバーセキュリティLT大会(第30回) sec-kansai.connpass.com/event/229603/ #sosailt
2021-12-08 00:26:11Youtubeのチャンネル登録をお願いします! 目標は千人です。 youtube.com/channel/UC8PWp… #sokansai #sosailt
2021-12-08 20:12:33IoT ボットネットについて 2017年11月・12月はミライというマルウェアが流行った。当時ロジテックさんのブロードバンドルータに脆弱性がありニュースになったが、未だに脆弱性が解消されず残っている。それも千台以上・・・。 #seckansai #sosailt
2021-12-08 20:18:11今日のお勉強。昔のルータへの攻撃が未だに続いているとは驚きです。 / 総関西サイバーセキュリティLT大会(第30回) sec-kansai.connpass.com/event/229603/ #sosailt
2021-12-08 20:19:10まだ対応してないルータが稼働している logitec.co.jp/info/2017/1219… #seckansai #sosailt
2021-12-08 20:24:24踏み台としてインターネット上にあるサーバが狙われるよ! 攻撃される条件:インターネットに公開、ポートがオープン、例えばUDPアンプ攻撃、TCP SYN/ACKリフレクション攻撃 #seckansai #sosailt
2021-12-08 20:26:472年前にWikipediaが攻撃されたときのIoTボットネット観測の全体像が見ることができた。DDos as a Service(Booster/Stresser)以外と身近な存在で誰でも攻撃できる。しかし、攻撃力はかなり高い。対策は踏み台やBotnetやサービス提供者を潰すことが必要だけど大変なこと。 #seckansai #sosailt
2021-12-08 20:36:38利用者側も踏み台として加害者にならないように気をつけること。当事者意識を持って欲しい。 #seckansai #sosailt
2021-12-08 20:38:26AkamaiなどCDNを利用することもDDoS対策としては有効。Azure DDoS ProtectionやAWS Shieldなどクラウドサービスを利用するといった方法もある。 #seckansai #sosailt
2021-12-08 20:48:40On-Prem AD Adversary Emulation for Red Team and Blue Team TTPsをエミュレートし検知とハンティングを検討します。 #seckansai #sosailt
2021-12-08 20:52:46疑似的なエンタープライズ環境を用いて、シナリオを用いてAdversary Emulation(敵対者のエミュレーション) します。攻撃者はSertUtilを使って、悪意のあるサーバーからC#ファイルをダウンロード、このファイルをコンパイルしてバイナリを生成。#seckansai #sosailt
2021-12-08 20:57:47アンインストール時にShellコマンドが発動して、C2サーバと通信する仕組み。 検知側はDetection(LOLBAS)は誤検知が多いのでSplank上でLookup File Editorを用いてフィルターすると効率的。 #seckansai #sosailt
2021-12-08 21:03:07攻撃側Keroberoast攻撃ちょっと要約できない。 次は検知側・・・どんどん進んでいく感じ。 #seckansai #sosailt
2021-12-08 21:10:27SMBの強制認証、攻撃者はNTLM over HTTP にしてNTLMリレーを行い、ADCSサーバへNTLM over HTTPを受信してクライアント証明書をユーザーへ返す・・・ #seckansai #sosailt
2021-12-08 21:14:43次の攻撃はKerberos認証はPreAuthを行い、NTLMを使ってクライアント証明書を使ってTGTをゲットした・・・多分抜けている。次は検知、DCSyncの検索式を使う例について #seckansai #sosailt
2021-12-08 21:19:48