Offensive Security - OSDAのケーススタディ
覚えてる範囲で雑に書く.
OSDA is 何
この辺のブログ参照
印象
Labやってましたが、内容はElastic Stack使った攻撃の分析で、分析対象はInitial Access〜Domain Compromise、攻撃パターンはCVE系なしでだいたい押さえてるものの、実務経験アリな人にはあんま新トピックはなさそうです。Examは今試験環境でトラブってて、いつになったら申し込めるやらって感じですね
— ツイッター川(BOD 4.9mg/L)のフナ (@nknskn) 2023年4月3日
そうですね、攻撃の内容を理解する&手を動かすには良さげです。わたしも一連の攻撃を分析するのは初めてだったので、かなり勉強になりました。試験では分析内容を英語で書かなきゃいけない(Flag形式ではない)ので、新人さんにはその辺が大変かもです。わたしはテンプレ文言をほぼほぼ作りましたw
— ツイッター川(BOD 4.9mg/L)のフナ (@nknskn) 2023年4月3日
わたしの場合どうだったの
事前知識
OSCP・OSEPの取得、Red Team / Penetration Testの経験がボチボチ、というところで、コースで出てくるような攻撃側の知識はだいたいあった. 一方で、SOC側としての知識は0レベル(攻撃の検証で軽くログを見るぐらい)というところ.
事前勉強
勉強開始〜試験挑戦はおおよそ1ヶ月(2023年3月上旬〜2023年4月17日試験)で、勉強は"コースのLab"と"GOADのELKを使って、自分で攻撃した場合のログを見る"という形で行った. 基本的な知識とログ分析の感覚を掴むのにLabを使って、いろんな攻撃パターンの把握と攻撃原理の理解にGOADを使う、という流れ.
業務の中で"Red Teamとしての攻撃シナリオやらツールの作成"とか、"Blue Team向け攻撃シナリオの作成"だとか(ついでにその手のサービスリリースとか)もやった経験があるので、「実際の攻撃に寄せつつ仕込むとしたら〜」的なメタ読みは(良くも悪くも)それなりにできてしまった.
事前準備
報告書はMITRE ATT&CKベースにフェーズごとのテンプレートを作成した. 準備した内容と本番で記載した内容のレベル感が全く合っていなかったので、正直なところあんま役に立たなかった. 丁寧にテンプレを作るなら、上の他の人がやったみたくOffSecの人にレビューを依頼した方が絶対に良いと思う.
その他、KQLのテンプレだったりWindows Event IDとかの参考リンクは用意したが、ほぼほぼ使わなかった. 結果的には、KQLをサラッと叩いたあとExamに飛び込んだような感じになった.
試験前のゴタゴタ
一回の試験を受けるために予約を計二度やっており一度目は4月頭だったが、試験開始の6時間前ぐらいに「試験環境でトラブル起きたから今日の試験は提供できんわすまんな」というメールが来た. 一応リスケ用リンクは送ってもらったが、すぐに予約可能期限が切れるわ予約できないわということもあり、メールでゴネにゴネて期限を延ばしつつなんとか日程を押さえるに至った.
試験
23h45mの試験なので、OSCPと似た感じの時間管理を想定して挑んだ. 具体的なポイントは以下
- 〜試験開始12時間後ぐらい
- 攻撃の全容を把握し、あらかたのテキストログを残す
- 画像ログも(可能な範囲で)取得
- 発見漏れの可能性がある箇所(攻撃の詳細がいまいち言語化できない箇所等)はメモに残しておく
- 残り時間
- 報告書作成
- 説明用の詳細なログは分析結果を再確認しながら取得
- 発見・分析漏れがないかもここで確認
おおよそ想定通りの時間管理で試験は行えた. ただ想定よりも分析漏れを"残り時間"で発見したこと、前半に取得したログが報告書に使えなかったことから、試験終了間際は非常にバタバタしていた.
この辺は、適当にシナリオ作ってGOADで試し、一回レポートを書く、みたいなことをやっとけば慌てずに済んだかなーと反省.
報告書
前述の通り事前に用意していたテンプレはほとんど役に立たなかったので、とりあえず論理がおかしくならないことに気を配りつつ頑張ったとしか言えない. 強いてコメントするなら、ログはこれ(とこれとこれ)、これ(ら)はこういうものなのでこのログから読み取れることはこう、つまり攻撃者はこういうことをしたかったと推察される、そしてそれは成功したor失敗したと見られる、という流れでだいたいを書いた.
合否連絡
3〜4営業日後ぐらいにメールが来た. OSWE, OSEPのときはもうちょい早かったので、今回のレポートの出来はあんま良くなかったかなー(連絡が早ければ早いほど読みやすく、かつ明確なレポートを書けているということじゃなかろうか)と推測.
所感
- 勉強になった > ツイートの通り
- 24,365なSOCの仕事はおじさんにはもう無理だよ