LACのインターンシップに参加しました

はじめに

2018/8/10に開催されたLACのインターンシップに参加してきました!

参加したコースは,JSOCオペレーション実践コース「ログ解析体験」です.
以前からJSOCでの業務には興味があったので応募し参加しました.

会場到着まで

出発地の大塚から会場の永田町まで東京メトロ南北線を利用したのですが,通勤ラッシュと重なって地獄を見ました.
出発前に空いてる路線を確認したほうがいいですね...orz

内容

内容はコースタイトル通り「ログ解析」を行いました.

Webサーバの通信内容を解析して,どのような脆弱性(e.g. SQLi, XSS, Directory Traversal, OS Command Injection, etc.)を突いた攻撃が行われようとしているのか,また,マルウェアのC&Cサーバとの通信内容を解析して,マルウェアがどのようなデータやコマンドを通信しているのかといったことを,パケットキャプチャファイルとWiresharkを用いて解析しました.

CTFで問題を解くときにWiresharkを用いたりpcapファイルを解析したり...といった経験はありましたが,「どの通信が怪しいのか」「なぜその通信が怪しいのか」「攻撃者はどのような脆弱性を狙っているのか」「攻撃の結果どうなったのか」といったことを細かくトレースし,レポートにまとめるといった経験は初めてだったので,とても良い勉強になりました.

加えて,既存のログの解析だけではなく,NIDSの1つであるSnortを用いて攻撃パケットのDetectionを行うといった作業も行いました.

Snortのルール記述文法を学んだ後,マルウェアによって自動的に発生する通信や既知の脆弱性を狙った通信(MS15-034怖い!)を,実際に作成したルールで検知できるようにしました.

うまくルールを作成したと思っても,なんらかの抜け道があったり,他の正常なパケットを不正とみなして検知してしまう(FP)といった問題が発生することが多々あり,ルール作成の困難さを体感することができました.

おわりに

インターンシップを通して,ネットワークセキュリティ関連のツールの扱い方や,実際に業務で行われているログ解析の手順といったことを,実際に手を動かしながら身につけることができたと感じています.

JSOCの見学も行わせていただいたのですが,遠目で見ただけでも大量のパケットやログがそこかしこと流れていっているのが見え,10000件程度のパケットの解析でゼエゼエ言っていた身からすると...という感じでした.はやくプロになりたいです...💪

今回のインターンシップといった機会を与えてくださったLACの関係者の方々,ありがとうございました!