「サイバーセキュリティレッドチーム実践ガイド」を読んだ

昨今のサイバー攻撃検知や防御の事情を知りたくなりました。
攻撃を検知したり防御するためには、敵の攻撃方法を知る必要があります。
ということで、以前から気になっていた下記の本を読んでみたので、復習を兼ねて記事にしたいと思います。

作者:Peter Kim
発売日: 2019/01/29
メディア: 単行本（ソフトカバー）

ペネトレーションテスト本との違い
気になった箇所
最後に
次にすること

ペネトレーションテスト本との違い

著者が以前に出版している「サイバーセキュリティテスト完全ガイド ~Kali Linuxによるペネトレーションテスト~ 」と、今回の「サイバーセキュリティレッドチーム実践ガイド」の内容は類似しているので、どちらを買おうか迷う人もいるのではないかと思います。

サイバーセキュリティテスト完全ガイド ~Kali Linuxによるペネトレーションテスト~

作者:Peter Kim
発売日: 2016/08/01
メディア: 単行本（ソフトカバー）

私も同様に迷っており、本屋で内容を確認した上で「サイバーセキュリティレッドチーム実践ガイド」を購入しました。

ペネトレーションテストでは、「特定のシステムにスコープを定め、脆弱性を見つけて、攻撃が成功することを立証し、レポートすること」を目的としています。対してレッドチームの活動では、「脆弱性を見つけて攻撃を立証、レポートすること」が目的ではありません。
レッドチームの活動は、「特定の企業や組織に対して、実際の攻撃者と同様の攻撃を行い、攻撃を適切に検知/対応できるかどうかをテストすること」を目的としています。
目的が違うので、従業員のスキルや人間の脆弱性、業務の運用方法なども攻撃の対象に含まれます。目的が異なるので、レポートの観点も異なるようです。

また、ペネトレーションテスト本は2016年の本なのに対し、本書は2019年の本なので、「情報がアップデートされているだろう」という期待もあってレッドチーム本を購入しました。

気になった箇所

本の流れに沿いつつ、気になった箇所を振り返ります。

目次全体の情報はこちら

サイバーセキュリティレッドチーム実践ガイド Peter Kim(著/文) - マイナビ出版 | 版元ドットコム

対象の偵察

ShodanやCensysでの検索、従業員のメールアドレスや対象企業が利用しているサブドメインの探索といった事前の情報収集方法が記載されていました。
その他にもGithubのリポジトリから情報を探したり、AWS S3の情報を探索する方法も紹介されており、現代の技術に合わせて偵察領域が広がっていることを感じました。

Webアプリへの攻撃

収集した情報を活用しつつ、Webアプリを攻撃します。
XSSなど定番の攻撃から、NoSQLインジェクションやテンプレートエンジンの攻撃、SSRFやXXEなど、最近の情勢に合わせた内容が取り上げられていました。

ネットワーク内での横展開

EmpireやResponder、Powershellなどを活用しながらネットワーク内で横展開する手法が記載されていました。

侵入後の調査

特別なツールを使わなくても、Windows標準のコマンドで攻撃に役立つ様々な情報が取得できることを知りました。
Windowsのコマンドはほとんど知りませんでしたが、覚えないといけないですね。

権限昇格

Empireを始めとしたツールで、権限昇格を狙える箇所の調査、権限昇格の実行方法が解説されていました。
また、Windowsの権限昇格についての参照情報が記載されていたので、こちらを活用して基礎を学習をしようと思います。

www.fuzzysecurity.com

Windowsのドメイン環境

Windows標準のコマンドや、その他ツールを使ってActiveDirectoryの検索や、攻撃経路の調査を行っていました。こちらでもEmpireが大活躍していました。
KerberosやActiveDirectory、ドメインコントローラのようなWindows環境について知識が足りないので、もっと勉強が必要です。

ソーシャルエンジニアリングやフィッシング

ソーシャルエンジニアリングやフィッシングは、今でも効果の高い手法だそうです。
2要素認証を突破する考え方など、こちらも現在の状況に合わせた内容が記載されていました。
Microsoft WordやExcelのマクロを悪用した攻撃も紹介されており、こちらでもEmpireが大活躍でした。Empireは一度検証してみたいですね。