APC 技術ブログ

株式会社エーピーコミュニケーションズの技術ブログです。

株式会社 エーピーコミュニケーションズの技術ブログです。

TryHackMe Advent of Cyber 2023から2024へ(10) Let's Try(問題を解いてみた感想など)

自己紹介

こんにちは、エーピーコミュニケーションズiTOC事業部 BzD部 0-WANの田中と申します。
弊社でEDR製品を導入いただいたお客様のインシデント調査を主に担当しております。
その傍らプログラマーとしての経験と知識を生かしてセキュリティに関するウェブアプリケーションを設計構築するなどSOCチームのメンバーとして日々サイバーセキュリティと共に在るエンジニアです。

TryHackMeの「Advent of Cyber2023の復習と2024の予習」をテーマにした連載最終回となる第10回目の今回は「Let's Try 問題を解いてみた感想など」についてお伝えします。

過去のTryHackMe Advent of Cyber 2023に関する記事は以下の通りです。

サイバー2024を終えて

tryhackme.com

昨日のTryHackMe公式Xの投稿です。あっという間に楽しいイベントが終了してしまいました。

参加した方はどのような感想をお持ちでしょうか。 私は今年は扱う内容が少し高度にそして分野も前回より広くなったように感じました。ビジネスで明日から使えるサイバーセキュリティの知識が身に着くという点で今回のAdvent of Cyber 2024はサイバーセキュリティ担当者やシステム管理者の皆様におすすめしたい内容になっていました。

ちなみに私はBurp Suiteで競合状態を起こさせるリクエストを投げる方法を探していたのでそれが見つかってすぐに知識が役立ちました。

まだ全問クリアしていない方(私もです)、大丈夫です! 前回もお伝えしたように12/31(火)まで多くの回答をするほど多くの抽選券を入手でき豪華賞品獲得のチャンスが高まります。

すべての質問に回答する必要はなく順番に回答する必要もありません。慌てる必要はありませんが12/31(火)までに 回答する質問が多いほど獲得できる抽選券の数が増え当選確率が高くなります。受賞者は無作為に選ばれ2025/1/6(月)に発表されます。

今後も問題はオープンされたままになるので豪華賞品はいらないよ、という方は通常のRoomを学習する感覚で回答できます。全問回答するとバッジを獲得することができますので、これからでもぜひ挑戦してみてください。

Advent of Cyber Day 24: MQTT & Wireshark

サイバー2024で出題された内容

以下にサイバー2024で出題された内容についてまとめました。問題はタスク7から始まります。

分野 学習目標
オペレーションセキュリティ
  • 悪意のあるリンクファイルを調査する方法を学びます。
  • OPSEC(運用セキュリティ)とOPSECのミスについて学びます。
  • サイバー調査においてデジタルIDを追跡および特定する方法を理解します。
ログ分析
  • TP(脅威あり)と FP(誤検知・過検知)を区別する方法を学びます。
  • Elasticsearchで相関分析する方法を学びます。
ログ分析
  • ログ分析とELKなどのツールについて学びます。
  • KQL について、またELKを使用してログを調査するためにKQLを使用する方法について学びます。
  • RCE (リモートコード実行)について、また安全でないファイルのアップロードによってこれがどのように実行されるかについて学びます。
アトミックレッドチーム
  • MITRE ATT&CK フレームワークを使用して悪意のある手法を識別する方法を学びます。
  • Atomic Red Team テストを使用して攻撃シミュレーションを実行する方法について学びます。
  • 攻撃テストからアラートおよび検出ルールを作成する方法を理解します。
XXE
  • XMLに関連する基本的な概念を理解します。
  • XML外部エンティティ (XXE) とそのコンポーネントを調べる方法を学びます。
  • 脆弱性を悪用する方法を学びます。
  • 改善策を理解します。
サンドボックス
  • サンドボックスツールを使用してマルウェアの動作を分析します。
  • YARAルールを使用して悪意のあるパターンを検出する方法を学びます。
  • さまざまなマルウェア回避技術について学びます。
  • YARAルール検出を回避するための回避手法を実装します。
AWSログ分析
  • AWS環境での監視について学びます。
  • JQでAWS Cloudtrailログを分析する方法について学びます。
シェルコード
  • シェルコードの書き方の基礎を理解します。
  • リバースシェル用のシェルコードを生成する方法を学びます。
  • PowerShellでシェルコードを実行します。
グローバル
  • ガバナンス、リスク、コンプライアンス (GRC) について学びます。
  • リスク評価について学びます。
フィッシング
  • フィッシング攻撃の仕組みを理解します。
  • ドキュメント内のマクロがどのように使用され、悪用されるかを理解します。
  • マクロを使ってフィッシング攻撃を実行する方法を学びます。
Wi-Fi攻撃
  • Wi-Fiとは何かを理解します。
  • 組織にとっての重要性を探ります。
  • さまざまなWi-Fi攻撃について学びます。
  • WPA /WPA2クラッキング攻撃について学びます。
ウェブタイミング攻撃
  • 競合状態の脆弱性の概念を理解します。
  • HTTP2によって生じたギャップを特定します。
  • 制御された環境で競合状態を悪用する方法を学びます。
  • レースを不正に操作する方法を学びます。
ウェブソケット
  • WebSocketとその脆弱性について学びます。
  • WebSocketメッセージ操作を実行する方法について学びます。
証明書の不適切な管理
  • 自己署名証明書について学びます。
  • 中間者攻撃について学びます。
  • Burp Suiteプロキシを使用してトラフィックを傍受する方法を学びます。
Active Directory
  • Active Directoryの構造について学びます。
  • 一般的なActive Directory攻撃について学びます。
  • Active Directoryに対する侵害を調査します。
Azure
  • Azureとは何か、なぜ使用されるのかについて学びます。
  • Azure Key VaultやMicrosoft Entra IDなどのAzureサービスについて学びます。
  • Azure Cloud Shellを使用してAzureテナントと対話する方法を学びます。
ログ分析
  • Splunkでカスタムフィールドを抽出する方法を学びます。
  • カスタムログのパーサーを作成する方法を学びます。
  • 検索処理言語 (SPL)を使用して検索結果をフィルタリングして絞り込む方法を学びます。
  • Splunkで調査する方法を学びます。
Prompt injection
  • AIチャットボットの仕組みを根本的に理解します。
  • AIチャットボットが直面する脆弱性について学びます。
  • WarevilleのAI搭載アシスタントであるWareWiseに対するプロンプトインジェクション攻撃を学びます。
ゲームハッキング
  • 実行可能ファイルのAPIと対話する方法を理解します。
  • Fridaを使用して内部APIをインターセプトして変更します。
  • Fridaの助けを借りてゲームをハッキングします。
トラフィック分析
  • Wiresharkを使用してネットワークトラフィックを調査します。
  • キャプチャされたネットワークトラフィック内の侵害指標(IOC)を特定します。
  • C2サーバーがどのように動作し、侵害されたシステムと通信するかを理解します。
リバースエンジニアリング
  • バイナリファイルの構造を理解します。
  • 逆アセンブリと逆コンパイルの違いを理解します。
  • マルチステージバイナリに関する知識を学びます。
  • マルチステージバイナリを実際に逆転させる方法を学びます。
Kubernetes DFIR
  • Kubernetesとは何か、なぜ使用されるのかについて学びます。
  • DFIRについて、また一時的な環境でのDFIRに伴う課題について学びます。
  • ログ分析を使用してKubernetes環境でDFIRを実行する方法を学びます。
ハッシュクラッキング
  • ハッシュ関数とハッシュ値について学びます。
  • ハッシュ化されたパスワードの保存について学びます。
  • ハッシュのクラッキングについて学びます。
  • パスワードで保護された文書のパスワードを見つける方法について学びます。
通信プロトコル
  • MQTTプロトコルの基礎について学びます。
  • Wiresharkを使用してMQTTトラフィックを分析する方法について学びます。
  • シンプルなネットワークプロトコルのリバースエンジニアリングについて学びます。
サイバー2024で出題された内容

まとめ

いかがでしたでしょうか? 今回はAdvent of Cyber 2024で出題された問題の概要をお伝えしました。 Splunkのように業務ではなかなか利用できないプラットフォームを体験できたり最新の攻撃手法や防御策を学べる特別な機会です。 興味がある分野の問題だけでも挑戦してみてください。

最後まで読んでいただきありがとうございました。来年からの新連載もお楽しみに。 techblog.ap-com.co.jp

0-WANについて

私たち0-WANは、ゼロトラスト製品を中心とした、マルチベンダーでのご提案で、お客様の経営課題解決を支援しております。 ゼロトラストってどうやるの?製品を導入したけれど使いこなせていない気がする等々、どんな内容でも支援いたします。 お気軽にご相談ください。

問い合わせ先、0-WANについてはこちら。 www.ap-com.co.jp

一緒に働いて頂ける仲間も募集しています

今までの経験を活かして、私たちと一緒にゼロトラスト分野で活躍しませんか? www.ap-com.co.jp