総関西サイバーセキュリティLT大会(第30回)のまとめ
-
- いいね!0
at none mommy tree
@mizuiro_rivi
総関西サイバーセキュリティLT大会(第30回) に参加を申し込みました! sec-kansai.connpass.com/event/229603/?… #sosailt
2021-12-06 15:09:47
Masafumi Negishi
@MasafumiNegishi
12/8 (水) 20時から「もっと身近な DDoS 攻撃」というタイトルでお話しさせていただきます。ご参加お待ちしてまーす! 総関西サイバーセキュリティLT大会(第30回) - connpass sec-kansai.connpass.com/event/229603/ #sosailt
2021-12-06 19:45:11
たーぼー
@ta_b0
総関西サイバーセキュリティLT大会(第30回)に参加を申し込みました! sec-kansai.connpass.com/event/229603/?… #sosailt
2021-12-06 21:59:16
Shinonome
@camera510PC7
総関西サイバーセキュリティLT大会(第30回) に参加を申し込みました! sec-kansai.connpass.com/event/229603/?… #sosailt
2021-12-07 00:22:50
西から来た馬づらの男
@beppu01
総関西サイバーセキュリティLT大会(第30回) sec-kansai.connpass.com/event/229603/ #sosailt
2021-12-08 00:26:11
二本松哲也
@t_nihonmatsu
Youtubeのチャンネル登録をお願いします! 目標は千人です。 youtube.com/channel/UC8PWp… #sokansai #sosailt
2021-12-08 20:12:33
二本松哲也
@t_nihonmatsu
IoT ボットネットについて 2017年11月・12月はミライというマルウェアが流行った。当時ロジテックさんのブロードバンドルータに脆弱性がありニュースになったが、未だに脆弱性が解消されず残っている。それも千台以上・・・。 #seckansai #sosailt
2021-12-08 20:18:11
Yasushi Usami
@usami2go
今日のお勉強。昔のルータへの攻撃が未だに続いているとは驚きです。 / 総関西サイバーセキュリティLT大会(第30回) sec-kansai.connpass.com/event/229603/ #sosailt
2021-12-08 20:19:10
MD5500
@MD5500
まだ対応してないルータが稼働している logitec.co.jp/info/2017/1219… #seckansai #sosailt
2021-12-08 20:24:24
二本松哲也
@t_nihonmatsu
踏み台としてインターネット上にあるサーバが狙われるよ! 攻撃される条件:インターネットに公開、ポートがオープン、例えばUDPアンプ攻撃、TCP SYN/ACKリフレクション攻撃 #seckansai #sosailt
2021-12-08 20:26:47
二本松哲也
@t_nihonmatsu
2年前にWikipediaが攻撃されたときのIoTボットネット観測の全体像が見ることができた。DDos as a Service(Booster/Stresser)以外と身近な存在で誰でも攻撃できる。しかし、攻撃力はかなり高い。対策は踏み台やBotnetやサービス提供者を潰すことが必要だけど大変なこと。 #seckansai #sosailt
2021-12-08 20:36:38
二本松哲也
@t_nihonmatsu
利用者側も踏み台として加害者にならないように気をつけること。当事者意識を持って欲しい。 #seckansai #sosailt
2021-12-08 20:38:26
二本松哲也
@t_nihonmatsu
AkamaiなどCDNを利用することもDDoS対策としては有効。Azure DDoS ProtectionやAWS Shieldなどクラウドサービスを利用するといった方法もある。 #seckansai #sosailt
2021-12-08 20:48:40
二本松哲也
@t_nihonmatsu
On-Prem AD Adversary Emulation for Red Team and Blue Team TTPsをエミュレートし検知とハンティングを検討します。 #seckansai #sosailt
2021-12-08 20:52:46
二本松哲也
@t_nihonmatsu
疑似的なエンタープライズ環境を用いて、シナリオを用いてAdversary Emulation(敵対者のエミュレーション) します。攻撃者はSertUtilを使って、悪意のあるサーバーからC#ファイルをダウンロード、このファイルをコンパイルしてバイナリを生成。#seckansai #sosailt
2021-12-08 20:57:47
二本松哲也
@t_nihonmatsu
アンインストール時にShellコマンドが発動して、C2サーバと通信する仕組み。 検知側はDetection(LOLBAS)は誤検知が多いのでSplank上でLookup File Editorを用いてフィルターすると効率的。 #seckansai #sosailt
2021-12-08 21:03:07
二本松哲也
@t_nihonmatsu
攻撃側Keroberoast攻撃ちょっと要約できない。 次は検知側・・・どんどん進んでいく感じ。 #seckansai #sosailt
2021-12-08 21:10:27
二本松哲也
@t_nihonmatsu
SMBの強制認証、攻撃者はNTLM over HTTP にしてNTLMリレーを行い、ADCSサーバへNTLM over HTTPを受信してクライアント証明書をユーザーへ返す・・・ #seckansai #sosailt
2021-12-08 21:14:43
二本松哲也
@t_nihonmatsu
次の攻撃はKerberos認証はPreAuthを行い、NTLMを使ってクライアント証明書を使ってTGTをゲットした・・・多分抜けている。次は検知、DCSyncの検索式を使う例について #seckansai #sosailt
2021-12-08 21:19:48