【CODE BLUE 2023】朝長 秀誠 / Shusei Tomonaga
●Abstract
Windows Event Log Internals: コアメカニズムを理解してセキュリティレベルをアップする [ja]
Windows Event Log Internals: Understanding the Core Mechanisms for Enhanced Security [en]
今回はBlueboxのカテゴリから「Windows Event Log Internals: コアメカニズムを理解してセキュリティレベルをアップする」の講演をされる朝長秀誠(ともなが・しゅうせい)氏をご紹介します。朝長氏は、JPCERT/CCのインシデント対応グループのメンバーで、マルウェア解析やフォレンジック調査に従事されています。CODE BLUEの常連スピーカーの1人であり、2015年から本年まで、ほぼ毎年講演されています。その内容は、日本を狙う脅威アクターの詳細であったり、セキュリティ調査に役立つツールの紹介であったりとさまざまです。
今年は、Windows Event Logに焦点を当てた講演を行うといいます。Windows Event Logは攻撃者が利用することも多いそうで、これを理解することがセキュリティ対策の強化につながるといいます。
ーーーー
This time, from the Bluebox category, we introduce Shusei Tomonagaーsan, who will be presenting "Windows Event Log Internals: Understanding the Core Mechanisms for Enhanced Security". Tomonagaーsan is a member of the incident response group at JPCERT/CC, working on malware analysis and forensic investigations. A regular speaker at CODE BLUE, he has delivered presentations nearly every year since 2015. His presentations cover various topics, including details on threat actors targeting Japan and the introduction of tools useful for security investigations.
This year, he will give a presentation focused on Windows Event Log. Attackers often utilize it, and understanding it is said to lead to the strengthening of security measures.
●Bio
朝長 秀誠
Shusei Tomonaga
ーーー
●Interview
[ja]インタビュー
Q1. 今回、カンファレンスで発表する研究を始めたきっかけを教えてください。
A1. 日々、攻撃者は新たな攻撃手法を開発し、悪用しています。OSには、我々が普段意識していない場所に多くの機能があり、攻撃者はそのような機能を悪用することで、攻撃をつづけています。守る側の人間は、そのような現状に日々頭を悩ませながら対策を考えているのですが、やはり攻撃の先手を取って対策をしたいという気持ちが常にあります。
われわれが普段は防御のために使用している、検知技術やバックアップデータ、ログなどもこのような攻撃者に悪用される恐れがあり、それらの悪用可能性を日々追及しています。今回の研究は、その一環であり、普段は防御のために使用しているログの悪用可能性を研究したものになります。
Q2. 研究の過程でどのような点で苦労しましたか?
A2. Windows OSにはUndocumentedな機能が多数あります。Windows OSを深く理解するためには、このUndocumentedな機能を理解していく必要があるのですが、これは非常に難しい作業ですし、試行錯誤を繰り返す必要があるため時間がかかります。
今回は、このようなWindows OSの内部構造を理解するのに非常に時間がかかりました。
Q3. CODEBLUEの参加者、参加を検討している人に向けてメッセージをお願いします。
A3. Windows Event Logの内部構造について興味がある方は、本プレゼンテーションが参考になるかもしれません。また、CODEBLUEは普段意識することがなかったり、専門外な話を聞いて新しい気付きを得ることができる貴重な場所だと思っています。CODEBLUEに参加して、いろいろなものを吸収してみてください。
ーーー
[en]Interview
Q1. How did you initiate your journey into the topic that you are presenting?
A1. Attackers are constantly developing and exploiting new attack methods. There are many functions in operating systems that we are not usually aware of, and attackers continue their assaults by misusing such features. Those on the defense are plagued daily with this reality while trying to devise countermeasures, always desiring to step ahead in anticipating attacks.
The detection technologies, backup data, and logs that we typically use for defense can also be misused by these attackers, and we are continuously investigating the potential for such misuse. This research is part of that effort, studying the possibility of the malicious use of logs, which are normally employed for defensive purposes.
Q2. What were some challenges you faced during this research?
A2. The Windows OS contains numerous undocumented features. To gain a deep understanding of Windows OS, it's necessary to comprehend these undocumented functions, which is a very challenging task. It requires a lot of trial and error and, consequently, a significant amount of time.
For this project, it took a considerable amount of time to understand the internal structure of the Windows OS due to these complexities.
Q3. What message would you like to convey to those considering attending this talk?
A3. If you're interested in the internal structure of the Windows Event Log, this presentation might interest you. Moreover, I consider CODE BLUE a valuable venue where you can hear about topics that are usually not on your radar or are outside your area of expertise, allowing you to gain new insights. I encourage you to participate in CODE BLUE and absorb various knowledge and ideas.