[PenTestSecJP] 10分で「知る」ペンテストの世界

PenTestSecJP で発表された内容の簡単なまとめ
@r00tapple （村島正浩さん）

目的

学生の8割がペンテストをイメージできることが目的です。

ざっくりとしたペネトレーションテストの分類

日本国内におけるペネトレーションテストの種類

1. IPベースペンテスト
   • ペンテスターと担当者の間でスコープを定義して、対象サーバにのみ攻撃して脆弱性を確認する
   • 脆弱性診断の延長
2. TLPT
   • シナリオに沿って TTP ベース攻撃を行う
   • 実際の脅威シナリオでテストを行う（金融機関で行われる）
3. RedTeam
   • Red Team が社内ネットワークや社員端末に攻撃・侵入を試みて、Blue Team が異常なアクティビティを検知・隔離する
   • SOC や BlueTeam の体制ができているところが実施する
   • 企業がサイバー攻撃を受けた際にどう対応していくのか

代表的な Attack Map

• 第三者の攻撃
  • インターネット情報の公開情報を調査
  • 情報探索や脆弱性を悪用
    • 公開サーバにアクセス
      • データベースから顧客情報の奪取
      • VPN・DMZ経由で社内NWに侵入
  • フィッシング
    • マルウェアに感染させて社員端末やSaaSを遠隔操作
    • 中間車攻撃によるセッション奪取して社員端末やSaaSを遠隔操作
      • 社内NWに侵入
  • 物理的アクセス
    • 有線LAN/無線LAN/ゲスト・紛失端末・内部不正を利用して分離環境を不正操作
• アクセス権を有するユーザの攻撃（内部犯）
  • 正規経路でクラウド環境のOAサーバにアクセス
  • 専用経路で社内NWに侵入
• 社内NWに侵入後
  • セキュアルームやイントラネットワークなどの分離環境への侵入
  • ファイルサーバから情報を奪取
  • 管理者アカウント権限を奪取して管理コンソールへ侵入

超ざっくりとしたペネトレーションテストの実情

分離環境における外部通信制限の設計不備

実施目的

インターネット通信を制限している環境などにおいて、マルウェアによる遠隔通信確立や内部不正などによる外部への情報持ち出しなどが実現しないか検証を行いたい

評価起点

• Web無害化ソリューションを導入した業務環境
• 論理分離環境

シナリオ

行員端末にマルウェアが感染したことなどを想定

ゴール

外部への行員端末の情報を持ち出し

理想の形

Web無害化ソリューションを提供している製品で攻撃者の攻撃によって奪取される情報を良い感じに制限してくれる

現実

• Web無害化ソリューション自体の設定不備
  • 端末内の任意のアプリケーションがHTTPS通信できるような設定不備
  • 通信先CDNの設定不備
• Web無害化ソリューション自体の設計不備
  • Web無害化ソリューションを攻撃側も契約した場合に宛先を攻撃者側にした場合の問題

オンプレ系OA環境侵害に関する攻撃シナリオ例

親会社が監査ベースのペネトレーションテストを実施していて、子会社がシナリオベース(TLPT/RedTeam)をやっている場合に頻出するシナリオ
外部通信がほぼできない環境でも、外部通信が発生する場所はあったりする
社員端末がマルウェアに感染するとAD経由で権限昇格をして情報を抜き出されることもある
親会社、子会社でADが設定されている場合、親会社の権限で子会社が侵害されることがある

実施目的

社員がフィッシングメールなどを起点にマルウェアを実行した場合、遠隔通信の確立が発生するかどうかについて検証を行。さらに、遠隔通信が確立されたあと、社内ネットワークにおいてどの程度の深さまで侵入が可能かを評価する。
具体的には、ファイルサーバから機微な情報を持ち出し、その後暗号化を行うことができるかどうかを確認する

評価起点

社員想定の端末に疑似マルウェアを添付してメールを送付し、端末上で擬似マルウェアを実行しかんせんを模した状態を評価の起点とする

シナリオ

社員端末にマルウェアが感染したことを想定

ゴール

1. Active Directory のドメイン管理者権限の奪取
2. ファイルサーバから機微な情報の奪取

理想の形

社内ネットワークにある、管理者サーバなどの本来アクセスができない情報には触れることができない

現実

Active Directory の Enterprise Admins グループを悪用して親ドメインから子ドメインにアクセスして土間員管理者を奪取することができ、その結果ファイルサーバの情報を奪取・暗号化できる

本当にざっくりしたサイバー攻撃被害後の問題定義

• 脅迫
  • ランサムウェア
  • ダークウェブ
• 被害
  • Webブラウザのアクセス履歴や保存されたログイン情報
  • 契約関係上管理している顧客のサーバ認証情報
  • 自社製品のソースコードや設計資料・管理者アカウント情報
• 二次被害
  • proxy侵入
  • 顧客サーバへの侵入

二重脅迫でリークデータを公開された場合の将来的リスク

• ダークウェブに情報がリークされた情報に、どのように二次被害があるかを想定できている企業が少ないイメージ
• リークデータがパブリックになるケースがあったが、二次的なサイバー攻撃発生リスクの高まりも示している
• DMZに配置される製品ソースコードの漏洩した場合の深刻度はあまり議論されない

サイバーインシデント事後対応内容の不足

EDR安全神話の前提が多数
「異常アクティビティ発見して即隔離すれば、あとは社内手順に沿って対応」本当にできてる？

• 攻撃者の遮断フェーズは足りてる？
• 有効セッションの無効化の有効性確認は行っている？

備考

• TLPT(Threat Led Penetration Test): 攻撃シナリオに基づいて疑似的な攻撃を行うことで、セキュリティ対策状況を評価する手法のこと
• TTP: 戦術/技術/手順
• EDR: エンドポイントでの検知と対応ソリューション