「技術」分科会(第20期第2回)
「技術」分科会
(各分科会の活動内容についてはこちらをご覧下さい)
開催日時:2024年1月19日(金)19:00~21:00
■ 題目
(1) Process Hollowing系の手法の発展と考察
(2) Are You Really Getting the Benefits of Unified Logs?
■ 講師
(1) 北原 憲 氏(株式会社ラック)
(2) 小林 稔 氏(株式会社インターネットイニシアティブ)
■ 講演内容:
(1)「Process Hollowing系の手法の発展と考察」
2010年頃に、マルウェアでの悪用により世界的に知られるようになったProcess Hollowing は、セキュリティ製品による検地を回避するプロセス実行の手法として、今日でも亜種の手法が盛んに研究されている手法です。
2017年にはProcess Doppelgänging、2020年にはProcess Herpaderping、2021年にはProcess Ghostingといった亜種の手法が、セキュリティ研究者によって開発されています。
本講演では、これらの代表的な手法の原理を理解するための解説から始め、プロセスのメモリの観測により得られた知見の共有を通じて、検出手法の開発に役立つ知識の提供を目的とします。
(2)「Are You Really Getting the Benefits of Unified Logs?」
Apple Unified LogsはmacOS 10.12で新しいロギングシステムとして導入され、様々な情報が記録されています。例えば、macOS 11以降では「log show –info –predicate ‘eventMessage beginswith “LAUNCH: 0x”‘」のようなコマンドを実行すると、アプリケーションバンドル実行のログを抽出できます。macOSはWindowsのPrefetchファイルのようなフォレンジックアーティファクトがないため、このような情報は非常に有用です。Unified Logsはバイナリフォーマットですが、logコマンドのほか、商用フォレンジック製品やオープンソースソフトウェアを使って可読文字列として抽出することができます。しかし、上記のような具体的な解析方法に関する情報は意外に少なく、インターネット上であってもほとんど見かけることはありません。
この講演では、Unified Logsの概要とアーティファクトの取得方法、それらをパースするツールを紹介します。また、Unified Logsの様々な解析方法を解説し、解析の自動化にも触れます。
さらに、Unified Logsの管理方法についても共有します。Windowsのイベントログとは異なり、Unified Logsはログのエントリー数の上限が固定されています。つまり、不必要なログが多く記録されると、重要なログが消えてしまう可能性が高くなるため、これを低減する方法について解説します。
■ 講師略歴:
(1) 北原 憲 氏
物理学で博士(理学)を取得した後、株式会社ラックに入社。Windows and Devices for ITやDeveloper Technologiesなどの分野で、Microsoft MVPを受賞。ネットワークペネトレーションテストサービスの立ち上げを経て、現在はサイバー攻撃技術の研究に従事。OffSec Exploitation Expert(OSEE)を代表とする、サイバー攻撃技術分野では世界最難関のOffSec社の資格を多数保持している他、第一級陸上無線技術士などの資格を保持。カーネルやハードウェアを中心とした低レイヤの攻撃技術に注力している。
(2) 小林 稔 氏
国内インターネットセキュリティベンチャー、国内大手SI子会社を経て、2014年5月から株式会社インターネットイニシアティブで勤務。デジタルフォレンジックを中心とした技術調査の他、インシデントレスポンスや社内の技術力向上に努める。また、セキュリティ・キャンプ全国大会2017-2019、Black Hat USA 2018 Briefings、JSAC 2018/2020/2022、Mauritius 2016 FIRST Technical Colloquium、Osaka 2018 FIRST Technical Colloquiumなど、国内外のセキュリティカンファレンスで講演や講師を務めた経験を持つ。
■ 開催場所:東京都南部労政会館 第6会議室
JR大崎駅南口左側「ゲートシティ大崎ウエストタワー」内2階
JR大崎駅南南改札口から労政会館迄の進路について写真付きで掲載されていますので、
こちらを参照してご来場下さい。
http://www.hataraku.metro.tokyo.jp/soudan-c/center/access/office02.html
■ 定員:60名
■ 参加条件:IDF会員、オブザーバー、またはその紹介による非会員の方。
※会員が紹介をされる場合、是非IDF入会をお勧め下さい。
■ 参加費:無料(要事前登録)
■ お申し込み締切り:1/17(水)12時最終締め切り
尚、定員に達し次第受付を終了します。
■ お申し込み方法:下記お申し込みフォームにて必要事項をご記入ください。
お申込みはこちらから(終了しました)
■ その他:
本講演の現地配布資料は、ございません。
■ 受講証明書発行を希望される方は、参加申込フォームの受講証明書の
要否欄にて「必要」を選択して下さい。
皆様のご参加申込をお待ち申し上げております。