GCCとは、Global Cybersecurity Campの略で、世界各国のU25の人が集まって、セキュリティーについて1週間かけて学ぶイベントです。
これは、2023年にSingaporeで開催された、GCC 2023 Singaporeに参加した話です。
なお他の人が既に書いているなどの理由から、あえて省略している部分があります。
タイムライン
全体のタイムライン
| Date | Event | Description |
|---|---|---|
| 2023/02/03 | キックオフミーティング | 顔合わせ |
| 2023/02/12 | Sg 入国 | |
| 2023/02/12 | 物理イベント スタート | 講義 |
| 2023/02/17 | 物理イベント 終わり | 講義 |
| 2023/02/18 | Sg 出国 |
典型的な一日の流れ
- 入眠時間: 00:00 ~ 02:00
- 起床時間: 05:45 ~ 06:30
注意: これは、あくまで自分の場合であって、他の人は違う場合もある (たくさん人と話したり、グループワークなどをしていたため)。
生活
講義
- 自由に立ち歩いて、近くの冷蔵庫から自由に飲み物を取って飲んでよかった。最高だった。
- 全体的に、ハンズオンの講義が多かった
グループワーク
- A-Gのグループに分かれグループワークをする。
- GCCのグループワークと、PowerShellの講義のグループワークがあった。
- Officialに時間がとってあるけど、そこまで意識していなかった気がする。
食事
スポンサーである、SSTさんが詳しく書いて公開している↓
休憩
- 講師によっては、講義の間に休憩があることも。
法律について
- シンガポールの法律は、法律でインセンティブを作って行動をデザインしているなと感じた (e.g. カジノなど)。
- 単純に日本の法律に慣れて、違う部分に着目した結果だけなのかもしれない。
- シンガポールの法律は、法律でインセンティブを作って行動をデザインしているなと感じた (e.g. カジノなど)。
講義について
ハイライト: C2: PowerShell Malware Detection Engine
講義「Hackathon of PowerShell Malware Detection Engine」で3位だった。内容はタイトル通り、悪性なPowerShellを検知するエンジンを作るというもの。グループメンバーそれぞれのバックグラウンドが違い色々なアイディアが出て面白かった。自分だけ任意learning系の素養がなかったと感じた。実は前日まで完成してなかったけど、最後に集中して完成させたのは良い思い出。
アイディアを要約すると、実行前と実行後のセレクターの差分をとって、動的に復号されたセレクターだけを評価するというもの (msticpyのIoCExtractを使っているのでIoCと言いたくなるが、IoCかどうかは分からないので、ここではセレクターと表現する)。
なお、時間がなかったので次の仮定をした:
- 動的な文字列について
- maliciousでないpowershellは、メインのロジックを暗号化しない
- maliciousなpowershellは、メインのロジック(configや実際のペイロード)を暗号化する
- maliciousな部分がdead codeな場合:
- anti-debugの結果実行されない場合: サンドボックスが対応するべき話であって、今回のハッカソンで実装するべき検知エンジンのレイヤーではないと判断した
- どうやっても実行されない場合: このブロックはmaliciousではない
詳しく知りたい人は、Detecting Malicious PowerShell Scriptsを読んでください。
それぞれの講義について
講義の概要はhttps://gcc.ac/gcc_2023/やhttps://y05h1k1ng.github.io/posts/gcc2023-singapore/に既に書いてある。
これらには書かれてないことを書く。
- C3: Reverse Engineering Malware Written in C++ with IDA and Semi-Automated Scripts
- Internalsを学んで、IDA (IDA Plugin)を使って解析
- 解析対象の検体について: 流石にIRで拾った検体じゃなくてサンドボックスで拾ってきた検体だろうとguess。オンラインサンドボックスからオリジナルファイルを取得、他のオンラインサンドボックスに投げてFlagをゲットしたことがいい思い出 (多分GCCでも、これをやっていたのは自分だけだと思う) 😆。
- 補足: ちゃんとIDAも使って解析しました。
- C5: RaaS
- 急遽代打が決まった講義らしい
- 流れ:
- 一般的なRaaSの話
- 仮想通貨とかの話
- 講義後、謎のbit coinのアドレスが与えられ、「気が向いた人は調べてみてね〜」と言われた。
- 後で調べたらミキサーにかけられていたが、グっと見るとContiのchatに存在するアドレスが浮上してきた (ContiLeaksは有名なので色々なツールがflagしてくれる)。記憶が曖昧なので、間違っているかもしれない。
- C7: Web Tracking and Browser Fingerprinting
- セキュリティー意識が高そうなブラウザを使っていても、試したら色々な手法でユニークな値を取得できて面白かった
- (本質的な回避方法も思いついたけど、スケールする解決方法ではない)
- セキュリティー意識が高そうなブラウザを使っていても、試したら色々な手法でユニークな値を取得できて面白かった
- C9: Attacker behaviour analysis base on attack vector analysis
- ログ解析をして、攻撃者のIPを特定しようという話。何も考えずにVSCodeで開いたら、VSCodeがフリーズした(それはそう)。
おまけ
- 現地通貨は、早めに換金しておこう
- ホテルのロビーとかで聞いたらオススメの場所を教えてくれた
- |Instagram| $\gg$ |Twitter (現:X)|
- |Linkedin| $\gg$ |名刺|
- ただし、これはStudentが企業に所属していないだけかもしれない
最後に
人と話して、相手の考え方などを知れて楽しかったです。8カ国もの国の人たちと、同じドメインの内容を深く話す機会は学生のうちはなかなかないと思うので、貴重な体験でした。
Singaporeでの1週間の間にお世話になった方はもちろん、それまでの準備でお世話になった方、そして、参加をサポートしてくださった皆さん、ありがとうございました😊。
今でも、StudentやStaffの方が日本に来た時や海外で同じイベントに参加した時に会うことがあります。嬉しい。