毎夏開催されるハッカーカンファレンス「DEF CON」。2020年は「DEF CON 28 Safe Mode」と題してバーチャルイベントとして開催されました。その一コマとして開催された「Red Team Village」。
今回はその中から、Christopher Cottrell氏による『Guerrilla Red Team: Decentralize the Adversary』ブリーフィングについてレポートします。

Christopher氏は、セキュリティ投資に対する厳しいリソース配分の中であっても無駄を省くことで、拡張性があり、再現性を担保した継続性のある人材育成プログラムの開発が可能であると説明しています。
そのためには、レッドチームメンバーがビジネス全体を俯瞰できる高度なオフェンシブセキュリティ意識を高め、草の根活動的にセキュリティ意識を促進することが必要とのことです。

方法論

この研修プログラムでは、週に1回、平日の4時間をブロックします。そこでは、グループメンターシップを通じて、計画された目標を達成していきます。その狙いは、メンバーがアイデアや技術を共有するピアネットワークを形成し、最終的にはグループとして技術的かつ専門的に成長していくことにあります。

研修プログラムのデザイン

トレーニングラボとして、「Hack The Box」の有料バージョンを採用しています。Retiredマシンを含む、すべてのマシンをラボとして使用が可能です。また、Retiredマシンには、公式の「Walkthrogh（攻略方法）」が付属しています。これにより、すべての受講者が特定ホストのハッキングに成功することを保証することができます。
このほか、補足学習として参考文献の閲覧と、その週に意図した学習課題を強化または補足できるサイバーセキュリティポッドキャスト「DARKNET DIARIES」を利用した音声講義が採用されています。
「コホート（グループ）」は、ライブ講義、ディスカッション、運用ノートのグループレビュー、および実用的なアプリケーションを通じて、初歩的な学習目標を達成することが可能です。

研修プログラムの教材概要

Hack The Box

https://www.hackthebox.eu/
2017年6月に設立されたサイバーセキュリティトレーニングのオンラインプラットフォーム。いくつかのソーシャル要素とゲーミフィケーション要素を採用することで、学習体験を楽しくやりがいのあるものにしています。

Hack The Boxに関する詳細は、「Hack The Boxを楽しむためのKali Linuxチューニング」を併せてご確認ください。

Darknet Diaries

https://darknetdiaries.com/
Jack Rhysiderが主催するポッドキャスト。ハッキング、データ漏えい、サイバー犯罪の恐ろしい世界を旅しながら、インターネットにおけるダークサイドの実話を探っていきます。

日本語で配信されているポッドキャストとして「セキュリティのアレ（仮）」があります。主催は @ntsuji さんと @MasafumiNegishi さんです。英語に抵抗感がある場合には、こちらの採用を検討しても良いと思います。

第１週目「レッドチームの概要」

第１週目の目標は、「コホート」に「簡単な勝利」を経験してもらうことに焦点を当てています。ライブ講義では、「運用ノート（opnotes）」について説明します。

Markdown形式で記述できる「Offensive Security Exam Report Template in Markdown」があります。opnotesの一例として参考になります。

DND #57 の視聴

Podcast: Darknet Diaries - Episode 57 "MS08-067"の視聴。
すべてのオフェンシブセキュリティエンジニアの学習のはじまりは、MS08-067から始まる必要があります。
今活躍している人の多くが知っているように、このエクスプロイトはレッドチームという職種を定義するに至っています。

Hack The Box : Legacy

Hack The Boxにて提供されている Retired Machines の「Legacy」

第2週目「「その他」のOS」

第2週目の目標は、オフェンシブセキュリティエンジニアとして遭遇する「その他」のオペレーティングシステムであるLinuxに移行していきます。

DND #41 の視聴

Podcast: Darknet Diaries - Episode 41: Just Visitingの視聴。
レッドチームは、特定の目標を達成するために複数の項目を変更することが含まれています。プロのレッドチームの人たちが、自分たちが行っていたエンゲージメントについて話してくれるので、フォローしてください。

Hack The Box : Lame

Hack The Boxにて提供されている Retired Machines の「Lame」

第3週目「クラッキング」

第3週目の目標は、パスワードのクラックとその分野に付随するツールについて学ぶことです。

DND #33 の視聴

Podcast: Darknet Diaries - Episode 33: RockYouの視聴。
あるハッカーが何千ものパスワードを集め、セキュリティの見方を変えた話を聞いてみましょう。

Hack The Box : Active

Hack The Boxにて提供されている Retired Machines の「Active」
Hack The Boxにて提供されている Retired Machines の「Jerry」

第4週目「Windows 特権の昇格」

第4週目の目標は、Windows ホストのユーザーアクセス権を取得して、ルート（SYSTEM）アクセス権を取得したらどうすればよいかに焦点を当てます。

DND #30 の視聴

Podcast: Darknet Diaries - Episode 30: Shamoonの視聴。
今週のポッドキャストでは、非常に破壊的なWindowsウイルスであるShamoonに関する話を聞いてみましょう。

Hack The Box : Optimum

Hack The Boxにて提供されている Retired Machines の「Optimum」

第5週目「Linux 特権の昇格」

第5週目の目標は、Linuxホスト上でユーザーからroot化するためのツールや方法論を学ぶことです。

DND #42 の視聴

Podcast: Darknet Diaries - Episode 42: Mini-Stories: Vol 2の視聴。
今週のポッドキャストでは、様々なレッドチームの活動に関する話を聞いてみましょう。

Hack The Box : Traceback

Hack The Boxにて提供されている Retired Machines の「Traceback」

第6 - 9週目「Live Ops」

この最後の4週間は、Retired マシンから、WalkthroughのないActiveなマシンに移行します。1つのマシンに対して4週間すべてを費やすことができます。コホートのチームワークはこのフェーズでは重要ですが、個人の成長を犠牲にすることはありません。

Hack The Box : Easy Active 状態のマシン

次のセクションに進む前に、いずれかのEasyレベル Active 状態のマシンを完了してください。
- Sauna
- ServMon

Hack The Box : Medium Active 状態のマシン

次のセクションに進む前に、いずれかのMediumレベル Active 状態のマシンを完了してください。

人材育成プログラムの出口調査

Christopher氏は、人材育成プログラムの実施前後においてアンケート調査を実施しています。

Windows

左側が実施前、右側が実施後のアンケート結果です。Windows ネットワーキング、SMBに関して良い兆候をみることができます。

Linux

LinuxはWindowsよりもよい兆候がみられます。オペレーティングシステムからネットワーキングまでいくつかの経験がえられたとのフィードバックが得られています。

まとめ

Christopher氏は、9週間の研修プログラムを通じてスキルアップの機会を提供し、卒業生がさらにスキルを磨けるような枠組みの構築を試みました。その結果、ビジネスに最も大きな影響を与えたのは、プロセスや技術ではなく、人材だったと締めくくっています。

参考情報

• DEF CON Red Team Village
• Cybrary 「Guerrilla Red Team: Decentralize the Adversary」
• YouTube 「Guerrilla Red Team: Decentralize the Adversary - Christopher Cottrell 」