設問1
(1) 3
PC-C
(2) 3
filesv
(3) 3
ad01\user019
(4) 3
管理外にする
(5) 0
ad01\user019からインターネットへのアクセスについては、プロキシサービスのURLフィルタリング機能を使用し、管理者拒否リストに全てと記載して仮想PCからインターネットへのアクセスを遮断する
-
振り返り
今回のケースでは、攻撃者のサイトへ通信遮断する。
対象ユーザは全ドメインユーザとしないとどれかのホストが攻撃者のサイトへアクセスできてしまうことになる
ファイルの送信を防ぐためなので、攻撃者のサイトへ送信を防ぎたいという意図を理解しないといけなかった
(6) 2
https 〜 ps1にアクセスしているホストを特定する
-
振り返り
攻撃者のドメインはps1をダウンロードする△△△のドメインだけではないので、○○○、□□□も指定する必要があった。図4をみれば、全部あやしということがわかった。
マルウェアを実際にdlしている△△△にとらわれていた
(7) 0
プロキシサービスの通信ログを見て、1時間毎にhttps://〇〇◯.com/へ通信しているホストを特定する
- 振り返り
-
回答根拠
当該下線部に調査に時間がかかるとあったので、実際に攻撃者のサーバへ通信しているホストを特定する旨を記載した
-
正答解釈
本問は、活動する可能性があるマルウェアを調査するための手法が問われている。なので、活動中のマルウェアを調査するための手法を記載している私の回答は誤っていると解釈できる。
図4を見ると、実装に攻撃を実行するq.ps1が実行される前に、i.ps1にて、タスクが登録される。したがって、タスクが登録されているPCを特定する必要があると考えられる。
-
(8)5
■1個目の仕組み
マルウェア対策ソフトが稼働していないホストがあれば情シス部にアラートメールを送付する
■2個目の仕組み
マルウェア定義ファイルに適合するファイルがホストから見つかった場合は情シス部にアラートメールを送付する
-
振り返り
表1のマルウェア対策サービスの記述から回答したが、図4のマルウェアの動作でるa ~ i からマッチしそうなやつを選ぶ必要があった。この場合はRDP接続失敗についてのことだった。
設問2
e
接続先ホストが接続元ホストからのRDP接続を許可するか判断する
-
振り返り
ホストからホストへの意図しない通信を防止するためにかいたが、そもそも仮想PCはシンクライアントPCからの接続さえできれば要件を満たす。したがって、ホスト同士の接続を防止する旨の回答をしなければいけなかった
f
管理者拒否リストにuplのURLを設定する。
-
振り返り
ホストに侵入したマルウェアがホストで取得したデータを攻撃者のサーバへ通信することを防げえば不正に持ち出せないと考えて回答した。
しかし、それだと新たな攻撃者のサーバが出てきてURL制限を防止できない可能せいがありそう。したがって、DLP(Data Loss Protection)の導入が考えられた。