WDSをいろいろ調べて学んでいた

前回に引き続き、windowsPE環境でキャプチャ・リストアする環境をクラサ環境にして大量リストアを夢見る企画。
PXE起動でwindowsPEをロードして、クライアントPCからストレージサーバの共有フォルダへPCイメージを作る・それを使ってリストアする　ということを目指します。

こんな感じのこと

今回やること

上記を実現するには①「PXEサーバ」②「共有フォルダのサーバ」③「windowsPEのISOイメージ」が要る。
③は「windowsPE」でググれば色々出てくるので割愛。
①②はwindows2022サーバの評価版で行う。

検証環境

①サーバ：以下の仮想マシンを作り、OSインストール直後の状態。 - OS: windows2022(ノーマルのほう。server coreじゃなく) - ストレージ：Cドライブ(20GB) - CD/DVD：Dドライブ - NIC：1個 - ネットワーク設定：IP:192.168.100.1　ADには参加せず。

②クライアント：仮想マシンを作ってsysprepした状態

ここからいろいろ設定する手順をすべてコマンド（コマンドプロンプトで実行）で実現する

サーバ設定

1.このサーバのIPアドレスを固定(サーバがあるならやらなくてよい)
※ IP:192.168.100.1、サブネット：255.255.255.0、デフォルトゲートウェイ：192.168.100.254にする場合。「イーサネット」の部分はNICの名称を入れる

powershell New-NetIPAddress -IPAddress 192.168.100.1 -InterfaceAlias 「イーサネット」 -DefaultGateway "192.168.100.254" -AddressFamily IPv4 -PrefixLength 24

2.役割：DHCPサーバを有効にする

dism /online /enable-feature /featurename:dhcpserver

3.dhcpセキュリティグループ作成(DHCP administrator とDHCP usersを作成する)

netsh dhcp add securitygroups

4.DHCPサービスを再起動

powershell Restart-Service dhcpserver

5.dhcp範囲
DHCPの範囲に名前(wds-dhcp)を付けて、DHCPで配布されるアドレス範囲(192.168.100.10-253)とサブネットマスクを設定する

powershell Add-DhcpServerv4Scope -name "wds-dhcp" -StartRange 192.168.100.2 -EndRange 192.168.100.253 -SubnetMask 255.255.255.0 -State Active

6.DHCPの除外範囲(192.168.100.1-10)を設定する：このアドレスはDHCPで払い出されない ‘‘‘ powershell Add-DhcpServerv4ExclusionRange -ScopeID 192.168.100.0 -StartRange 192.168.100.1 -EndRange 192.168.100.10 ‘‘‘

7.dhcpのゲートウェイ(単一セグメントの環境なら使わない)

powershell Set-DhcpServerv4OptionValue -OptionID 3 -Value 192.168.100.254 

8.クライアントはDHCPでIPアドレス受け取った後、OSイメージを受け取るためのpxeサーバのIPアドレスを設定する

powershell Set-DhcpServerv4OptionValue -OptionID 66 -Value 192.168.100.1

9.pxeサーバに到達してから受け取るOSイメージ名を設定する

powershell Set-DhcpServerv4OptionValue -OptionID 67 -Value boot.wim

10.役割：「Windows展開サービス」(ブートイメージ配布サーバ)をインストールする　 windowsでのPXEサーバ機能は「Windows展開サービス」と「DHCP」で実現できる。
今まで気にしたことなかったけど、PXE環境って、IPがない状態のPCがDHCPで「IPをもらって」、「PXEサーバのIPを教えてもらって」、PXEサーバから「起動イメージをロードさせてもらう」ことなんですね。
コマンドでは以下の通り。

dism /online /enable-feature /featurename:Microsoft-Windows-Deployment-Services 
dism /online /enable-feature /featurename:Microsoft-Windows-Deployment-Services-Deployment-Server /all
dism /online /enable-feature /featurename:Microsoft-Windows-Deployment-Services-Transport-Server

11.windows展開サービスの設定で、PXE起動するクライアントに払い出すイメージのパスを設定する(タイムアウトするけどできている)
この時、共有フォルダ(名称：reminst　物理パス："c:\wdsInstall")が作成される。クライアントPCからは”\(wdsサーバ)\reminst”でアクセスできるようになる。
※このコマンドはタイムアウトすることがあるけど、フォルダ設定はちゃんとされている。

wdsutil /initialize-server /reminst:"c:\wdsInstall" /standalone

12.PXE起動時に払い出すイメージを登録する
このときのdドライブ(CD)はwindowsPEのメディアを想定(550MBあるため少し待つ)

wdsutil.exe /add-image /imagefile:"d:\sources\boot.wim" /imagetype:boot /name:winPE /description:"windowsPE" /filename:"winPE.wim"

13.pxeブートの挙動(全クライアントに応答する)

wdsutil /Set-Server /AnswerClients:all

14.wdsサーバ開始

wdsutil.exe /start-server

クライアントの設定

• BIOS/UEFIでnicから起動するように順番を変えておく(これをやっておかないとクライアントに入っているOSが起動する)

いざ実践① キャプチャする

1.クライアントPCでネットワーク起動するように設定して電源on→サーバからIPをもらえる。画面に従いEnterキー押す。

2.PXEサーバにある起動イメージを受け取って起動開始

3.まずは共有フォルダをマウント
PXE起動時にクライアントとサーバのIPは表示されているので、サーバの公開ドライブ(reminst。サーバ作業の11番)をNドライブとしてマウントする。
※IDとパスワードを聞かれるので、サーバのユーザ(とりあえずadministrator)とパスワードを入力すればOK

net use n: \\192.168.100.1\reminst

ついでにキャプチャイメージの保管フォルダ(FFUimg)を作成する

md n:\FFUimg

4.クライアントのイメージをサーバに作成・保管する 前回作ったツールを使っても大丈夫でしたが、標準なコマンドを使用する。

dism /capture-ffu /imagefile:"n:\FFUimg\capturedIMG.ffu" /capturedrive:\\.\PHYSICALDRIVE0 /name:"windows10_24H pro"

いざ実践② リストアする

1.キャプチャしたFFUファイルをPCに適用する リストアするPCで実践① キャプチャの手順１から３を行い、以下のコマンドを使用します。

dism /apply-image /imagefile:"n:\FFUimg\capturedIMG.ffu /appplydrive:\\.\physicaldrive0 

※リストア先のストレージがFFUの元のストレージサイズより小さいとエラーになります(テストしていて気付かずハマった) ※リストア後は起動デバイスの順番を戻しておきましょう

ということで、ネットワーク越しに大量デプロイ環境が作れましたとさ。

もくじ

• ぼやき
  • hardening=ハー「ド」ニング
  • もう５回目ですよ
• 振り返り
  • 参加表明・募集通過
  • チームビルド
  • 本戦(Hardening Day)
    • の前夜
    • そして本戦(起きたこと)
      • やらかし(失敗)
      • 上手くいった(成功)
    • MP(MarketPlace)
  • Analysis Day
  • Softening Day
    • 各チームの発表
    • 運営より
    • 結果
• そして旅は続く

ぼやき。

　毎年繰り返しますが... 　

hardening=ハー「ド」ニング

何度でもいうぞ。ハー「デ」ニングと言ったら運営の人から羽交締めにされてボコられるので気をつけよう。

• ググれば出てくる「堅牢化競技」
• 勝負は売上金額＝PC詳しくなくても参加できる。来たれ営業の神。
• 売り上げるためにはサーバの稼働が必須。来たれ修羅場(イン/アクシデント)をくぐりし者
• 準備期間は５週間
• 見知らぬ人とチームを組んでサーバを守れ！
• winもlinuxもあるよ！

もう５回目ですよ

2018の札幌開催から今回のルスツ開催。年もとったことだしそろそろ...と思いつつも止められない。まだ旅路は続きそうだけど、

• 毎度何かしらのトラップに引っかかり暗澹とした気分になる
• オンライン開催が続いているのと生来の出不精で東京に行けない=フルで満喫できてない
• 毎年スタートラインは「前回の記憶を持っていない人々」とのパーティ編成。ガチで「何回目のループだ！？」という気分になる。

たとえ優勝してもこのループを抜ける世界線に辿り着けない気がする... これだけ出ていると、メンバーに楽しんでもらいたい・またきて欲しいという気持ちが強くなり、一人で騒ぎすぎていないかちょっと気になります。

振り返り

参加表明・募集通過

７月初めにアーリーバード(先行予約)のエントリーが発表され、運良くこちらに選ばれました。(※) 8/20に全参加者が決定し、今年はチーム１０(自分含めメンバー9人)でチャレンジです。 ※ツイッタ(今はX)で「HardeningProject(@WASForum)」をフォローすると気づきやすい。

今年のメンバー

• 自分(情シス)＆同業者一名、大学生、セキュリティコンサル、プロマネ、レッドチーム、製造業が1人ずつ、大学じゃないけど諸事情で勉強中が二人。
• ハードニング経験者は四名。

役割分担

• 初ミーティング時に自己紹介シートを埋めてもらうと、今回は技術志望が少ない。
  スタートはど定番の「振られたらなんでもやります」。 ...そうじゃない。もっとガツガツ行こうぜ。
• 技術志望が少ない＝ん？俺も入っていいのかな？な雰囲気だったので今年は技術側へ。
• ついでに”リーダー経験があります”と言ったら「ではよろしく」という流れで２年ぶりのリーダー(※)
• どうせ社長呼ばれるんだろ　ということで社長とリーダーは分離(もうアレは勘弁)。ただ、社長不在時の判断はCEO・CISOで行う。

※リーダー：主に運営とのやりとり・連絡役ですが、名前の通り「リードする人」なので、時々「そうしましょ」「やめましょ」と決めなきゃならないのですが、リードするのが苦手なので「ご意見募集」で皆さんからヒントもらって「じゃ、こうするね」という形で通してます...

ミーティング

• 毎週月木の２０時から約１時間(過ぎたら「今日はこれまで」とする。ホワイトだ...)
• 議事録はesa。MarkDown大好きなので、個人的わがままという形で採用
• 後半から月曜：全員で打ち合わせ、木曜：テック・ビジネスで分かれて打ち合わせという形に。お互い気づいたことを月曜に検討。
  →お仕事が長引いている人にとっては２０時開催は大変だったかも。(21時でも良かったかも)
• リーダーなのでファシりたいところですが、上手な人(セキュリティコンサルさん)がいたので基本お任せ。自分はなるべく議事録に専念(喋りながら書くの苦手)。

• 勉強中Aさん、製造業さん、プロマネさんが組織図・BCP対策を策定。クオリティ高い。 　

  

• 自分はずっと顔出しするようにしてました。(モバイルの人＆回線細い人、ごめんなさい)
  　→とにかく顔と名前を覚えてもらいたい＆覚えたいので。名前を呼ぶと印象よくなったり(ネームコーリング効果というらしい＜まんまやん)、自分ごとと捉えてもらえる(はず)ので、名前呼んでから話すことを心がけてました。

• 【ロゴ・PVについて】こういうのって大概「絵力がないので」と尻込みするのですが、幸いにもこの分野に強いメンバーがいてあっという間にできました。勉強中Bさん、めっちゃ器用。

  

その他

士気をあげよう！　というわけでもないのですが、「お揃いのTシャツ」「チームロゴステッカー」を作ることに。 いいねぇ、こういう雰囲気、おぢさん好きだわ。
競技全体のコミュニケーションツールはdiscordを使っており、他のチームの動向も(公開範囲なら)参照可能なので、「他のチームでステッカー作ってたら交換しましょう」と営業しておく。

その他２

自主訓練ということで、自分でec-cubeを立てて使用感を確認してる人がいました。自分はvyos(ルータ兼FW)を仮想で入れて使ってたのですが、バージョンが新しいせいかどうもネットの情報と動きが違ってハマってました。とりあえずコマンドをメモしていたのがあとで効いてくる。

本戦(Hardening Day)

の前夜

オンラインでしか顔を見てない人々とやっと顔合わせ。画面で顔出ししてもらってたから、すれ違うだけで「あ！」「お！」と指さし合うw ルスツは小休止スペースが充実しているので、一角を借りて本戦の役割・やることの順番を書き出す。
このときそっとサーバのIP・URLリストを書き出していたレッドチームさん、まだ会場に移動中なのに当日のタスクリストを作っていた勉強中Bさん、ものすごく助かりました。ありがとう。 助けられたついでに商品画像と説明もお願いして深夜２時すぎまで作ってくれてありがとう＆ごめんなさい。 この辺のものはできる人がやるスタイルで良かったかも。

そして本戦(起きたこと)

色々とやらかしたりやられたりしましたが、ネタバラシにならない程度に。

やらかし(失敗)

• remotedesktopツールで入力欄を間違えて繋がらない。
  macのリモートデスクトップを使ってるのですが、いつもなら間違わない入力場所をなぜか間違いしばらく考え込む。

  

• 電圧降下？でPCの充電が止まる
  バッテリーが赤ランプになって気づいた。何度ACを抜き差ししても認識せず。メンバーのアダプタを借りて対応。（部屋に帰ったらちゃんと動いた。なんだったんだ？）

• PCのバッテリ残量がわずかになって焦り、コンセントを抜き差しするうちにハブの電源を抜く。
  痛恨の極み。自分一人ならまだしもメンバーに迷惑をかけたのは本当に申し訳なかった。

• メンバーのノートPCの画面の後ろにあったお茶が倒れる（故障なし。水気は離れたところに置きましょう。）

• 詳細は伏せるけど不正侵入を受けたので切断＆パスワード変更
  これを意図したわけではないけど、導入したツールで攻撃のログを掴むことができました。after the carnival...

• 怪しげな侵入者
  　暗号化被害の前後関係が不覚ですが、ユーザのパスワードを変えた後に何気なくタスクマネージャを見たら自分(administrator)以外のユーザ名が。技術班のメンバーに聞いても誰も使ってないという。さよなら。

  

上手くいった(成功)

• vyos使えました。
  本番当日まで不安だったけど、練習用に作ったvyosのバージョンが高くて微妙にコマンドのパラメータが違うのに手こずってました。きっと本番環境は安定版だろうと踏んで、それ用のコマンドラインをメモ帳に溜め込んでおいたら見事に的中だったので、コピペでサクサク作業できました。("show version"したときにちょっとガッツポーズしてた)
  FWのブロック対象はレッドチームさんがサーバのログから洗い出したIPをdiscordに載せてもらい、私がひたすらに登録。

• 侵入経路の発見
  今年はとあるwindowsサーバのフォルダが暗号化被害を受けました。バックアップをとってなかったのは痛恨の極みですが、幸いなことに大和セキュリティのEnableWindowsLogSettingsで監査機能をonにしていたため、どこからやられた(暗号化命令を出した場所)が発見できました。
  ログをもとにセキュリティコンサルさんが「防止のためにこれやってください」と指示をくれたので第２波を防ぐことができました。
  このログを自端末にコピーすること競技終了数分前に気づいたのですが、惜しいことに間に合わず。

  

• 暗号化...天才だ！天才がいる！
  先に書いた暗号化被害ですが、暗号化されたフォルダ群を見回っていると、いかにもな「.ps1」ファイルが見つかる。
  テキストエディタで開くとまさしく犯行に使われたファイルだったので「暗号化のソースファイルがある」と声を上げたらレッドチームさんが見に来て、ざっと見た後ぼそっと「...戻せるかもしれない」と言ってくれたのでサーバの操作ごと渡しました。
  結果、１時間ほどでファイルは復旧して脅迫から免れるという快挙を成し遂げました。人智の及ばない所業🤩

• 作業報告書の提出がギリギリ
  作業報告書は競技終了時間前に提出するのがマストですが、今年は例年以上にテンパっていてビジネス班にお任せ(プロマネさんありがとう)でした。伝えることは伝え、あとは内容確認してして送るだけというタイミングで担当メンバーPCでファイルが開けない事態に。
  急遽こちらで巻き取り、終了２分前の滑り込みで送信しました。(このバッファが取れたのは社長である勉強中Bさんの時間管理のおかげ。)

• 後から聞いた話。当チームは最後の時間で割引セールを行い、持っていた在庫のほとんどを捌いたそうです(割引率５割を即断した製造業さんの潔さと言ったら...ありがとうございます。)

• こんなヒリヒリした中でも空気感の違う二人
  レッドチームさんが学生さんの大学のOBらしく、学生さんをアドバイスしてた(なんて余裕だ)
  たしかに指導するにはうってつけな環境だけど、レッドチームさんのハイスペぶりに舌を巻く。

MP(MarketPlace)

例年はオークション状態で金額がインフレーションしていたMPですが、ドラフト指名制になりました。(公正になったと思います)　...が。

• WAF取れなかった！
  全参加者羨望のWAF,EDRは獲得できず。２年前の素手で戦った記憶が蘇る。

• NECさんめちゃ助かる
  最後に獲れたNEC「サーバ監視＆通知サービス」が、想像以上に働いてくれました。「チャットでお知らせくれる程度かな」と思っていたら、人間が走ってきて息を切らせながら「不審なファイルがあります！」とか「webshell置かれてます！」と教えてくれる。やりとりはセキュリティコンサルさんがやってくれて、「言われたファイルをリネームしましょう」「ポート塞いでください」と的確に指示してくれました。

• JPCERT/CCさんを使いまくる
  数あるMPのなかで唯一の”タダ”で提供されるサービスJPCERT/CCを購入(同業者さんが購入してくれた。みんなうっかりしてました。ありがとう)し、ことあるごとに「変なメールきたんだけど開けてよい？」「このURL踏んで大丈夫？」と聞いたり、逆に「こんな被害があったから他チームに共有してください」と情報提供したり。JPCERT/CCさんも「他のチームでこんな被害ありましたから気をつけて」「リークサイトで晒されてるよ」などの連絡をいただき、気づかなかった攻撃への対処ができました。連絡役は主に勉強中Aさんが担当し、学生さんが「これも連絡したほうがいいんじゃ？」と気づいてくれる。みんなよく気づくな。

という、いろいろなイベントをこなしHardening Day終了。

Analysis Day

いわゆる「ふりかえり」の日。振り返るためのテンプレートは運営で用意してくれているので、各々が自分で書けそうなところを埋めて終了。この資料を綺麗にまとめてSoftening Dayに発表します。いままでずっとお任せな役だったけど今年は自分がやろうか？　でも東京か...と考えていたら、社長を務めた勉強会Bさんが「発表は私がしたい」と言ってくれたのでお任せすることに。 HardeningDay終了後の雑談や、このAnalysisDayのときもこんなコメントが出てました。

• 「テックがしっかり堅牢してくれるからビジネスに集中できた」
• 「ビジネスが売り上げを作ってくれたから集中して堅牢できた」

これがお互いから出てくればチームとして大団円だと思います。
ぱっと見はサーバを堅牢化してスコアを競う技術大会ですが、世の中は「売り物があって、サーバを使って売り捌いている」のであって、サーバが動けばそれで良いわけではないことに今更ながら気づきました。
ビジネス側にもビジネスのスキルや戦略があり、ハマれば売り上げがどんどん上がっていく。５回目でやっとHardeningの真意というか意義に辿り着けた気がします。＜遅い

Softening Day

Hardeningの総括をする日。競技が終わってから数日、東京に行くべきか悩んでました。
「たった１日、移動を考えると日帰りなんて無理でしょ？」「オンラインでも見れる」「頑張りはしたけど良くても２、３位でしょ」と言い聞かせる自分と、「これほどやり切ったんだから見届けるべき」「このメンバーで会えるのはこの日が最後」「こんな期待薄な状態で１位とったら最高だろ」という自分。
実際に競技終了１時間前の売り上げ状態は、ちょっとトップに追いつくのは厳しいなと思ってました。
それでも。それでもこのメンバーと最後まで見届けておきたいという気持ちが強く、家族に「どうしても行きたいイベントがあるから東京に行かせて」と伝え、飛行機・宿もろもろを手配しました。

各チームの発表

もうね... これみれば十分です。
午前中に各チームの取り組み・振り返り(売り上げ予測を緻密に立てたり、技術に８割近く力を割いていたり、MPの相手で忙殺されたり)があり、当チームで締める。

ここでも気づきを得ましたが、チームリーダーの役割って表向きは上述の通りですが、本当の意味でのリーダー(leader：導く人)は競技の間も動き回って「いまどう？」「次あれやって」「今の状況がこうだからこっちにしよう」と、文字通りチームを導く人なんですよね。そういう意味で自分はリーダーとして力不足で、社長役の勉強中Bさんが完全無欠のリーダーでした。社長、ありがとうございました。

運営より

午後からは運営側のこの日に至るまでの「俺たちのHardening」。三日でスコアボードを改修したり、20ページしかできてない資料を１日で１０６ページにしたり、競技中にプロバイダを切り替えて繋ぎ直したりとか、文字通り「奇術」にしか思えないことをつらつらと明かしていく運営陣。こんな話聞いてたら俺たちのレベルなんて...と苦笑する。

結果

結果発表は各チームの売り上げ・技術点・顧客点・対応点・経済点・協調点・経営点が評価されるのですが、チーム１から順に読み上げられる中で「やはりトップではなかったか。でもこの場にいられることが嬉しい」という清々しさでリラックスしてスコアを眺めてました。
...が、最後に読み上げられた当チームのスコアは最高点を刻み、「え？え？」となりながら見守ってる間に「優勝チームと思われる方はステージへ」と呼ばれました。長々書いてますが「優勝」です。
力が抜けた状態でショックを受けたので感情が追いつかなくなり、ちょっと泣きそうになりました。（あのままインタビュー受けてたら本当に泣いてたかもしれない）

優勝に伴いいろいろと副賞をいただいたのですが、気になる方はsofteningday(上記リンク)のライブを見て下さい。 スポンサー賞を授与いただいたKDL様、副賞を授与いただいたダイアモンドスポンサーのGMOサイバーセキュリティByIERAE様、sky様、NEC様、そして実行委員会の皆様、”これから”に繋がる、やる気になれる豪華なプレゼントをいただき誠にありがとうございました。

そして旅路は続く

最高な仲間と最高の時間を過ごすことができました。”ぼやき”にも書きましたが、いい年なんでそろそろ後進にいろいろ渡したり、布教に勤しもうかとも考えてました。が、この高揚感はホントに病みつきになる。まだ譲れない。

来年も転生して、チームとしては”ニューゲーム”だけど、個人としては”強いままニューゲーム”。
まだまだ勉強することだらけだし、チームに伝えることも山ほどある。 オープンには語れない役割もいただけそうな感じだし、まだまだおぢさんも頑張らねば！

今更だけど。
仕事に関わるガイドラインを読み込んでいる時にsmbの脅威(wannacry)を思い出し、いろいろわからんことだらけなので調べてみた。
人に説明するには自分で理解しなければ。

そもそもWannaCryって

最初の認識では「smb1.0の脆弱性を突いて感染・増殖・感染先を暗号化」みたいなイメージだけど、この時点で疑問が出てくる。

• smb1.0を使わなければいいの？ どう防ぐのが正解？
• 感染したとしてどこまで広がる？(感染セグメント内？違うセグメントまで行く？ユーザ名・パスワードとか無視されるの？)
• そもそもどういうメカニズムなんだ？

思いつく単語でググってみる

「wannacry 仕組み」

トレンドマイクロの解説を見つける。そういえば関連ワードで”EternalBlue”があったな。

• EternalBlueはWindows SMB1.0サーバ(共有フォルダの持ち主)が特定のリクエスト(ファイル送る側が発するメッセージ)を処理する際のセキュリティ上の欠陥
• ファイル送る側がEternalBlueを突く攻撃をすると、バッファオーバーフロー(メッセージ長すぎて処理できん)を起こす
• バッファオーバーフローを起こしたメモリ(のためのバッファ確保も使い切り)次のメモリ領域を操作できるようにしてしまう

へぇー　と思いながら次へ。

「WannaCry 詳細」

カスペルスキーのサイトがトップに出てくる。

• WannaCryが実行されるシナリオ
• ”EternalBlue”(攻撃ツール)を仕掛けて、ターゲットに”DoublePulsar”(バックドア)をインストールする
• "DoublePulsar"にコマンドを送り、WannaCryを実行する

なるほど。WanaCryは「EternalBlueを使ってDoublePulsarを送りこみ、DoublePulsarでWannaCryを実行する」てことか。

「EternalBlue 詳細」

三井物産セキュアディレクション(以下：mbsd)「WannaCry 2.0（＋亜種)におけるワーム活動の詳細と残存するDoublePulsarについて」を見つける。めちゃめちゃわかりやすい。

• EternalBlueとDoublePulsarは攻撃ツール「Fuzzbunch」の機能の一つ
• Fuzzbunchはmetasploitみたいなもの（使い方知ってればコマンド叩いて攻撃できる）
• FuzzbunchでEternalBlueを実行すると、その流れで(DoublePulsarが無ければ)DoublePulsarをインストールする
• DoublePulsarはSMB/RDPで通信を受け付け、任意のコ－ド実行・DLLインジェクション(外部からDLLを持ってきて登録する？)をする機能がある
• WannaCryが流行った時期では、DLLインジェクションで”lsass.exe”に不正なDLLを読ませ、ターゲット内でWannaCryを作成・実行してた
  →DoublePulsarが動いてしまえば、EternalBlue以外からでもコマンドを受け取れる状態になる
• DLLインジェクションでは、注入したDLLがメモリ内に読み込み・実行されるため、タスクマネージャやプロセスエクスプローラでは見つからない
• 以降、感染したターゲットが次のターゲットに向かってEternalBlueを仕掛けてDoublePulsarを仕込み、WannaCryを生成・実行...
• 攻撃対象として選択できるのはwin7/win2008R2。ただし、(windowsOSではなくsmb1.0の欠陥なので)smb1.0が動いていればwin10でも効く。
• Fuzzbunchを使うにはpython2.6が必要(2.7では動かない)
• 「DoublePulsarはメモリ上にのみ存在するため、感染PCを再起動することで消滅します」
  →なぜ？　このブログ内ではDoublePulsarについての挙動は書かれているけど、インストールされたらどう見えるかが不明なので、もう少しググる。

「doublepulsar インストール」

アイマガジンの最新マルウェアを解剖する｜WannaCryの仕組みと攻撃のメカニズムの記事が見つかる。全体図としてはこちらの方がわかりやすい。
上記と同じmbsdの方が解説している「WannaCryで感染が広がる仕組み」について以下のコメントを発見。

まずWannaCryにすでに感染している端末Aがあるとします。この端末A上のマルウェアは、LAN／WANやネットワーク上でMS17-010の脆弱性をもつ端末Bを発見すると、EternalBlueと呼ばれるエクスプロイトコード（脆弱性を利用したマシンコード）を使って攻撃を仕掛けます。この攻撃は、端末BのSMB v1サービスに対してエクスプロイトコードを投げつけ、SMB v1サービスのカーネル空間でバッファオーバーフローを発生させてデータを書き換えるというものです。

そこへ端末AからDoublePulsarと呼ばれるバックドア・プログラムが送り付けられ、バックドアが設置されます。この送り付けに際しては、端末BにDoublePulsarが存在していないことをEternalBlueが事前に確認してから送り付けられています。このDoublePulsarはメモリ上でのみ作動するファイルレスなので、端末上からは確認できません。また、端末を再起動すると消失してしまうタイプのプログラムです。

ここで知りたいことが凝縮された形で書かれていた。上記の「なぜ？」はこれで納得。さらに、

SMB v1サービスがDoublePulsarに感染すると、ディスパッチテーブル（関数テーブル）にある正規関数の1つが書き換えられてしまいます

というコメントがあったので、smb1.0で感染することが確定。
正確には、「EternalBlueでsmb1.0ホストにDoublePulsarをインストールする攻撃を受けると」ということか。ちょっと気になるので、smb2で感染するかも確認。

「MS17-010」

ちょっと気になるので、smb2で感染するかも確認するためにググってみた。(最初から読めよ)
マイクロソフト セキュリティ情報 MS17-010 - 緊急に書かれている通り、回避策としてsmb1.0を無効にする方法を案内している。裏を返せばsmb2.0は大丈夫　という解釈だろうか。

「wannacry 動作」

最後に残った疑問。感染したらどこまで広がるか。
アイマガジンのブログ内に「LAN／WANに広がる」とあるので、192.168...や172...のアドレス範囲内に総当たりを仕掛けるのかと思うけど調べてみる。
NTTコミュニケーションズのWannaCryとはどんなもの？感染症状や感染の確認方法に、「WannacCryに感染すると」の項がある。

拡大していくときには、IPアドレスを自動生成し、インターネット通信で次に侵入するPCを見つけ出します。 自動生成したのが社内のIPアドレスであれば社内PCに、社外のIPアドレスであれば外部のPCに飛び火していくのです。 また、IPアドレスの自動生成によって入り込むPCを探し出すため、通常のマルウェアで有効なセグメント分けでは対応できません

...なんてタチの悪い動き。”外部に露出している”＆”smb1.0が有効な”windowsサーバが１台でもあれば、かなりまずい。

結論

最初の疑問は解決できた

• smb1.0を使わなければいいの？ どう防ぐのが正解？
  →smb1.0を無効にするだけでOK。ただし、一回でも感染していれば別のsmb1.0サーバにも感染・そこから再感染の、エンドレスゲームになる。
• 感染したとしてどこまで広がる？(感染セグメント内？違うセグメントまで行く？ユーザ名・パスワードとか無視されるの？)
  →IPを自動生成して、内外構わずどこまでも行く
• そもそもどういうメカニズムなんだ？
  →上述の通り。どこかのWannaCry感染端末が感染先を求めてEternalBlueを仕掛けてDoublePulsarをインストールし、WannaCryを生成し、暗号化・脅迫文表示。これを延々と繰り返す。

これで人に聞かれても説明できるぞ。（ないと思うけど）

※補足：マクニカさんのセキュリティ研究センターブログ「マルウェア解析奮闘記 WannaCryの解析」も後から見つかり、これもわかりやすいです。

NISM ctfとは

twitterで流れてきた知った。

nism-ctf.siebold-cyber.net

ジョパディ形式。CTFdの画面構成に似てる。(よく見たら右下にCTFdと書いている) それじゃ行ってみよーぅ。

welcom

練習問題。答え方を教えてくれる。

Misc: カラーコード

NISMのロゴマークに使われている青色は、
RGB形式で表すと、rgb(0,153,204)です。この色のカラーコードを答えてください。
flagは、NISM{#xxxxxx}の形式で答えてください。

手元にあったフリーウェア(colorPPP)でも拾えるけど、調べることがこのブログの趣旨なので、「カラーコード　rgb　変換」でググる。

tech-unlimited.com

ここで0,153,204を入れればフラグゲット

Misc: 奇妙な文字列

こんな意味不明な文字列が友達から送られてきたんだけど、君は解読できるかい？
TklTTXtiQHNlNjRfYzRuX2IzX2VhNWkxeV9kZWMwZGVkfQ==

「ctfで文字列が来たらまずbase64を疑え」と死んだじいちゃんが言ってた。 御用達のdencodeで文字列をコピペしてフラグゲット。

NW: Electrical talk

あなたは、社内ネットワークに接続されている無数のコンピュータの中から、
唯一通信できるコンピュータ1台を発見するネットワーク宝探しゲームに参加しています。
様々なIPアドレスへ通信確認をしているpcapと、そのIPとのホスト名対応表を用いて、
通信可能なコンピュータのホスト名を答えよ。

回答の際は、次の形式で答えること。
ただし、ホスト名には、ホスト名対応表の任意のホスト名が入る。 NISM{[ホスト名]}

• pcapファイルと、IPに対応したホスト名の一覧csvが添付されている
• pcapファイルをwiresharkに食わせたら、いろいろなIPアドレスへpingを打っているデータが出てくる
• 斜め読みする感じではicmp以外のデータはなさそう。かつ、ほとんどが未達(destination unreachable)

pingと聞いたら”echo"と"reply"がセットで出るわな…ということは、うまくいったやつ(reply)を探すのね...とゆっくり見ていくと発見。 目でも見つかるけど、wiresharkの文字列検索で一発だった。ゲット。

NW: Insecure communications

ネットワークの勉強の一環で、親友の同意のもと、親友のネットワークを
数分キャプチャさせていただいた。
どうやら、親友はある会員向けのHTTPサイトにアクセスし、
会員限定記事を見ているようだ。
僕も見たい。そこには魔法のflagが隠されているみたいだ、、、
与えられたpcapより、会員向けサイトのクレデンシャルを見つけ出し、
実際にアクセスして自分の目でflagを確認してみよう。

pcapファイルが添付されている。wiresharkに食わせてファイルに戻したけど、フラグらしきものは見つからず。なにをしたらいいのかわからず。Hintを見ると「URLがわからない。見つけ出さないと、、」とのこと。そゆことか。
wiresharkのprotocolをhttpのみにしてinfo欄を並び替えると、”post”コマンドのデータが発見。post先ではなく、postしていたURLを開くと入力画面にリダイレクトされるので、 post先に送られていたパケットのunameとpwrdの値を使ってログインするとフラグゲット。

NW: Where am I?

ネットワークを学習する上で避けては通れないサブネットマスクの計算。
力試しでやってみましょう。

192.168.1.0/28のネットワークにおいて、192.168.1.93のネットワークアドレスを答えなさい。
なお、解答の際はNISM{[IPアドレス]}の形式で答えること。

例：回答が192.168.250.34なら、回答はNISM{192.168.250.34}となる。

計算は苦手です...マスクを計算することはできなくもないけど、自信がないのでズルをするw 「ネットワークアドレス　計算」でググり、CMANでサブネットマスクを「28」にしてIPアドレスを入れればフラグゲット。

Web: 超、易問！

NISMのテーマカラーは何色でしょうか？
https://easy-quiz.siebold-cyber.net 

いや、知らんがな... - 示されたURLにいくと、色の選択肢を答える画面が表示されるが、選択肢のどれを選んでも「違うよ」と言われる。(でしょうね) - 選択肢をクリックするとURLが(グレーを選ぶと)「https://easy-quiz.siebold-cyber.net/?color=grey」と変わる。

このctfのログインページのことを思い出し、「もしかして青？」と思って「https://nism-ctf.siebold-cyber.net/?color=blue」でフラグゲット。

Web: frog, frog, frog

蛙好きの友人が、蛙と名の付く文学作品を集めたサイトを作ったらしい。せっかくだから見てみようか。
https://frog-works-collection.siebold-cyber.net 

下のセレクトボックスで文学の内容が表示されるが、明らかに数が少ない(1970移行がない) ので、そこを怪しむ。
F12キーでwebページのソースを表示し、セレクトボックスの値を変えて「select」ボタンを押すと、作者：NISMのポエムが表示された。ぱっと見フラグらしきものはないので、ページのソースを見てみると、わかりやすく”hidden”が。

とりあえず　NISM{君には何が見えている？}　と入れたもののハズレ。
ここにはない...前回のtaskctfであったようなrobots.txtか？と思い、URLに指定しても404が返る。それならcss?
https://frog-works-collection.siebold-cyber.net/stylesheet.css　でフラグゲット。

Web: お米食べろ

近年はお米の消費量が落ち込んでいる、と言われますが、やっぱり毎日一番食べているのはお米ですよね！
2010年から2020年までの全国の水陸稲作付面積の統計データを集めました。

都道府県名か年を入力したらデータ抽出するwebページ。

• ページのソースに不審点はなし。
• 「京」と入れたら「東京」「京都」のデータが出てくる。
• 「’; 」を入れると「Fatal error: Uncaught mysqli_sql_exception: You have an error in your SQL syntax; 」

ということは... 「mysql　テーブル　一覧」でググって、ここを参考にして入力欄でMYSQLのテーブルを一覧する文をインジェクションしてみる。

' union all select table_name,1,1 from information_schema.tables; -- (最後は半角スペース)

出てきましたねぇ～。riceはおそらくこの画面で抽出しているテーブルのはず。

スキーマもテーブルも「flags」なら、列も同じじゃね？　と考えて、SQL文を組み立てる。

' union all select flag,1,1 from flags.flags; -- (最後は半角スペース)

なんかやたら似た文字列がたくさん出てくる中にフラグ発見。ゲット。

Forensics: Lost USB memory

あっ、大切なUSBメモリを紛失してしまった。まぁでも重要なデータは削除してたから大丈夫でしょ。

• zipファイルが添付されている。
• 解凍するとproblem.bin　というファイル。
• binならバイナリエディタか？と開いてみてもフラグらしきものはなし。ただ、エディタ内の文字列に「Disk error Press any key to restar」が。

これ、ディスクか。ならばと思いbinから.isoに変換したものの、マウントできず。むむ...
改めてNISMサイトを見ていると「技術者向けイベントのハンズオン資料を公開いたしました。」を発見。

...ものすごくわかりやすい。 ここのフォレンジックの資料を見ながら「青空白猫」を使ったら、あらまぁ...binに埋まっているファイルが見える。いやぁ、勉強になります。フラグゲット。

Forensics: Hidden files

長崎で撮った写真を集めてみました。画像に埋め込まれているflagを見つけることはできるかな？

• jpgが4枚添付
• 青空白猫でjpgが2枚あるのがわかる

サムネイルじゃないjpgを取り出すとフラグの断片が見つかるので、すべて取り出してフラグゲット。
これ、画像を結合したらもっとスマートに取り出せそうだけどそこまでのやり方は分からず。

Forensics: A file is opening

とあるプログラムが重要なファイルを開いているみたい...

• Win10_MEMORY.DMPというファイル
• forensicsを始めるときに見つけたハンズオン資料がむちゃくちゃわかりやすく(2回目)、つまりこれを使えと。
• volatility3をインストール。問題文から、ファイルを開く＝コマンドラインでファイルを指定していると判断...お前か！

来い！　dencode！(これも2回目)

フラグゲット。

Forensics: Find Reg Value

このPCにOSをインストールしたのはいつだろう？

※この問題のフラグはNISM{ }のカッコの中に年・月・日・時・分・秒をアンダーバー区切りにして入れたものです．

例)
答えとなる日時が1970/01/01 10:20:30である場合，フラグは
NISM{1970_01_01_10_20_30}
となります

• Win10_MEMORY.DMPというファイル
• ハンズオン資料を見たからわかっている。ありがとう。

• 読みながら手を動かす。これぞまさしく「ハンズオン」。俺は今猛烈に感動している。

• volatility でwindows.registry.hivelist.HiveListを指定し、「¥SystemRoot¥System32¥Config¥ SOFTWARE」のオフセット値を取得

• volatility でwindows.registry.printkey.PrintKey --offset (オフセット値) --key "Microsoft\Windows NT\CurrentVersion\"で得られるinstalltimeの値を取得
• w32tm /ntte (上記の値)

フラグゲット！　終わった～。

初心者向けで資料に助けられまくりだけど、初めて全部解けた！うれしい！　これからも励みます。