Upgrade to Pro — share decks privately, control downloads, hide ads and more …

『setodaNote CTF』のOSINT問の復習/setodaNoteCTF_OSINT

meow
December 24, 2021
Technology
0
520

『setodaNote CTF』のOSINT問の復習/setodaNoteCTF_OSINT

2021/12/21(火)に第14回 初心者のためのセキュリティ勉強会(オンライン開催)で発表した資料です。

https://sfb.connpass.com/event/233963/

■リンク
・setodaNote CTF
https://ctf.setodanote.net/

・OSINTによるマルウェア調査ハンズオン
https://speakerdeck.com/ctrl_z3r0/investigating-malware-20191030

・VirusTotal, ANY.RUNなどのオンライン検査サービス利用における注意点 - セキュリティ猫の備忘録
https://nekochansecurity555.hatenablog.com/entry/2020/07/08/200739

meow

December 24, 2021
Tweet

More Decks by meow

See All by meow
Stranger Case V3 作戦会議
meow_noisy
0
250
HEXA OSINT CTF V3 作戦会議
meow_noisy
0
160
ボツ問 “mural(rev1)” 解説
meow_noisy
0
50
2月学んだこと紹介
meow_noisy
0
120
写真内の鉄塔を手がかりに撮影場所を推定する
meow_noisy
1
510
xeuledocについて
meow_noisy
0
400
スパイ養成CTF!? AVTokyo 2022の『Open xINT CTF』に参加した!
meow_noisy
0
770
「画像で検索」テクニックのうちCTFであまり使いこなせていないもの6つ
meow_noisy
1
650
RVCTF2022の問14の復習
meow_noisy
0
210

Other Decks in Technology

See All in Technology
SWC Transformerから見るTypeScript関数記述ベストプラクティス
fujiyamaorange
1
180
Dungeons and Dragons and Rails
joelq
0
230
多言語化対応における TypeScript の型定義を通して開発のしやすさについて考えた / TSKaigi TypeScript Multilingualization
nabeliwo
2
390
社内での継続的な機械学習勉強会の開催のコツ
yudai00
2
390
The depthes of profiling Ruby - RubyKaigi 2024
osyoyu
0
150
AWS アーキテクチャ作図入門/aws-architecture-diagram-101
ma2shita
16
6.7k
Oracle Cloud Infrastructure データベース・クラウド:各バージョンのサポート期間
oracle4engineer
PRO
12
7.9k
スクラムに出会って「できた」を実感できるようになってきた話 / Scrum makes me feel like I can do it
yayoi_dd
2
110
複雑なビジネスルールに挑む:正確性と効率性を両立するfp-tsのチーム活用術 / Strike a balance between correctness and efficiency with fp-ts
kakehashi
5
3.6k
サイボウズ 開発本部採用ピッチ / Cybozu Engineer Recruit
cybozuinsideout
PRO
9
37k
「できる!」を増やすGitHub Copilot活用法 / How to use GitHub Copilot to expand your possibilities
sansan_randd
1
240
AI JIMY - 登壇(インストール編)
hanacchi
0
150

Featured

See All Featured
The Cult of Friendly URLs
andyhume
74
5.7k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
226
51k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
21
1.6k
Into the Great Unknown - MozCon
thekraken
15
1.1k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
242
1.2M
KATA
mclloyd
16
12k
Building Better People: How to give real-time feedback that sticks.
wjessup
356
18k
How to Ace a Technical Interview
jacobian
273
22k
Gamification - CAS2011
davidbonilla
77
4.6k
Bash Introduction
62gerente
605
210k
Infographics Made Easy
chrislema
238
18k
[RailsConf 2023] Rails as a piece of cake
palkan
28
4.1k

Transcript

  1. 『setodaNote CTF』のOSINTカテゴリ の復習 第14回 初心者のためのセキュリティ勉強会(オンライン開催) meow ( @meow_noisy) 2021/12/21(火)

  2. 概要  2021年8~9月に国産のCTFである『setodaNote CTF』に 参加  OSINTカテゴリを解いた  解きっぱなしになっていたので、復習を行った

  3. おしながき  OSINTとは(いつもの)  setodaNote CTFについて  setodaNote CTFのOSINTカテゴリの問題の紹介 

    おわりに

  4. OSINT(Open Source Intelligence)とは 過去のスライドと同様です

  5. インテリジェンスとは 情報A 情報B 入手した情報 情報X 入手していない情報 情報C 情報統合 情報分析 情報C1

    情報C2 情報D こんな情報があるはず(仮説) 情報E ・・・ 情報の価値  複数の情報を分析・統合・仮説の検証などを経て、より利用価値のある情報に 昇華させる行為を指す  OSINT: オープンソースの情報に基づいてインテリジェンスを行うこと 情報を元に最終的な 意思決定へ 例) 情報ZからプランPを実 施するのがよい Security Days 2021「OSINT:ハッカーから見えるインターネットの世界」 の講演内容を元に作成

  6. CTFにおけるOSINTについて お題から分析できる情報と公開情報、個人の仮説を組み合わせる ことで、フラグを導き出す形式の問題 入手した情報 情報統合 情報分析 自販機が多い、 ビールケース、 この建物は 酒屋では?(仮説)

    “西日暮里3丁目 酒屋” 情報の価値 フラグ: 谷中 オープンソース Google Street View “西日三”とい うラベル 問題例. 左下の画像の撮影場所を特定せよ Digital Overdose 2021 Autumn CTFより

  7. setodaNote CTFについて

  8. setodaNote CTFとは  公式の紹介ページより引用  “サイバーセキュリティに興味を持ち始めた人がより深い興味を抱き自ら学 び進めていけるよう、好奇心や探究心を喚起するコンテンツの提供を通じ て、サイバーセキュリティの裾野を広げることを目的としたCTF”  URL:

    https://ctf.setodanote.net/  作問者  soji256氏  氏の運営するブログの名前が「setodaNote」である  出題カテゴリ(9つ)  Pwn, Rev, Programing, Crypto, Forensics, OSINT, Web, Network, Misc  開催期間  2021/08/21 ~ 2021/09/04  常設ではないが、CTFサーバへは未だにアクセス・解答可能

  9. OSINTカテゴリに関して  全10問  多種多様な媒体がお題として 与えられ、OSINTする  お題はそれぞれ独立している  実務の観点からも役に立つとの声がある

     ”特にForensics、Network、OSINTの問題は実践的な問題が多く、 実際のサイバーセキュリティの業務でも役に立つ問題が多くて楽し かったです。”  setodaNote CTF Writeup - Tahoo!!  https://takahoyo.hatenablog.com/entry/2021/09/10/164917

  10. setodaNote CTFのOSINTカテゴリの 問題の紹介 一部をピックアップして紹介する

  11. tkys_with_love (30pt)  コールサイン”C6DF6”で Web検索すると、船のペー ジが出てくる  flag{Symphony_of_the_Seas}

  12. tkys_with_love (30pt)  問題自体は簡単に解けるが、問題の背景としては Maritime OSINTを想定しているのではないかと考える  港の情報や船の運行状況、船員のプロフィールはオープン ソースであり、インテリジェンスの材料としても使われる 

    貨物船のデータから国の経済状況を把握、など。 MarineTraffic.comで横浜あたりの状況を可視化。 いつどこにどの船がいてどこに向かっているかなどを把握可能 問題に出てきた船のコールサインで検索すると、現在いる場所がわかる (そして、私が資料を作っている時間も特定される)

  13. Dorks (50pt)  “Google Dorks(Hacking)”  Googleで検索オペレータを 駆使して有益な情報を得る テクニック 

    公開されてはいけない情報 を探す時に役立つ  flag{inurl:login.php}

  14. Dorks (50pt)  Google Dorksにまつわる今年の関連ニュース  2021年4月: とある企業のTrello上で管理していた人事情報が 誰からでも閲覧可能な状態で公開されていた件 

    GHDBを見る限り、話題のクエリは2017年から登録されて いた

  15. N-th_prime (200pt)  72,057,594,037,927,936 = 2の56乗に当たる数  Webで見つかった素数の 数え上げを行うコードを実 行するも、さすがに現実的

    ではないと判断  「なんらかのツールを探す OSINT問なのではないか」 という方針で解くことにし た

  16. N-th_prime (200pt)  いろいろGoogle検索でツールを探す  「nth prime algorithm」で探した時にstack overflowの ページがヒットしツールが見つかる

     https://stackoverflow.com/questions/44734806/better- algorithm-to-find-nth-prime-number  お題の桁数ならば実時間で解けることが判明  ツールを実行  flag{2991614170035124397} https://github.com/kimwalisch/primecount

  17. N-th_prime (200pt)  他の方のwrite-upを読む  OSINTで解けることが判明  OEIS(オンライン整数列大辞典)というものがある模様  https://oeis.org/

     ”2 3 7…”と2のべき乗番目の素数を列にして検索すると、 そのようなテーブルがヒットする https://oeis.org/A033844/b033844.txt

  18. identify_the_source (250pt)  「tsuru」という名前の ファイルが添付されていた  lessコマンドでファイルを 確認  大量のTSURUというテキス

    トの最後に” The flag was written on a website where you would have been able to download this file.”と書かれていた

  19. identify_the_source (250pt)  「マルウェア解析サイト」がどこかを探すことに  ここでhiro(@ctrl_z3r0)さんの講義資料が役に立つ  『OSINTによるマルウェア調査ハンズオン』  https://speakerdeck.com/ctrl_z3r0/investigating-malware-20191030

  20. identify_the_source (250pt)  上から順にサイトにファイルをアップロード  ※マルウェアのOSINTにおいてファイルアップロードはしない方がよい ことを後に知る(後述)  件のURLはHybrid-analysisにて加工された状態で発見

  21. identify_the_source (250pt)  URLにアクセス  nginxの404メッセージ  しかし “nice try!”とのこと

     URLはtsuruというリソースを指していたのでindex.htmlを 見てみる  NO DATAというメッセージが出るが、 一番下までスクロールすると、”The flag is no longer here.” というメッセージが隠れている  Webページで”no longer”と来たらやることは1つ

  22. identify_the_source (250pt)  WaybackmachineでURLを検索  “The flag is no longer

    here.”からメッセージが変わっている日付 を探す  メッセージが存在しないものがあった  ソースを確認したところコメントアウトでフラグが書いてあった

  23. identify_the_source (250pt)  ファイルアップロードによる検査は情報漏えいリスクがある  アップロードされたファイルの情報は誰でも閲覧可能になるため  独自調査の前にまず自社のセキュリティルールに従う https://twitter.com/takahoyo/status/1434156747371859978 •

    VirusTotalやANY.RUNなどのオンラ イン検査サービスへのファイルアッ プロードは基本行わない • ファイルの確認をする場合は、ハッ シュ値で検索 • 対策部署への連絡を視野に入れる VirusTotal, ANY.RUNなどのオンライン検査サービス利用における注意点 - セキュリティ猫の備忘録 https://nekochansecurity555.hatenablog.com/entry/2020/07/08/2 00739

  24. おわりに

  25. 解いた感想  おもしろかった(小並感)  さまざまな対象へインテリジェンスを行うことができて、 非常に勉強になった  企画・運営ありがとうございます!  OSINT問の良問としてお勧めしていく予定

  26. まとめ  『setodaNote CTF』のOSINTカテゴリの問題を復習した  CTFの趣旨の通り、問題を解くことによる学びが多かった

  27. おまけ: 来月(1月)のOSINT CTF  HACKTORIA | OSINT CTF  開催日

    2022年1月1日 🎍  その他は不明  興味のある人は twitter @hacktoria をフォローしよう!

  28. 参考文献  setodaNote CTF Writeup (OSINT) - Tahoo!!  https://takahoyo.hatenablog.com/entry/2021/09/09/235144

     Open Source Intelligence (OSINT): Tracking Marine Traffic Around the World  https://www.hackers-arise.com/post/open-source-intelligence- tracking-marine-traffic-around-the-world

  29. ご清聴ありがとうございました @meow_noisy