はじめに
ブログでは久方ぶりです。pr0xyです。
セキュリティ・キャンプ全国大会2022にZ7のチューターとして参加させていただきました。 チューターは担当の講義(自分の場合はZ7)のサポートやグループワークの補助など、様々な場面で潤滑油になることが求められていました。 この記事ではチューター視点でseccamp2022を簡単に振り返りたいと思います。
講義
自分のサポート担当の講義はZ7のマルウェアサンドボックス強化ゼミで、講義+開発を行いました。
マルウェアサンドボックスにはマルウェアの振る舞いからマルウェアの種類を特定するシグネチャという機能が付いています。 マルウェアは日々種類が増え続けているため、既存のシグネチャで検知できないマルウェアは結構存在します。(既存のシグネチャの作りが甘いこともありますが...) この講義の目的はシグネチャを開発することで既存のシグネチャで検知できなかったマルウェアを検知できるようにすることです。
シグネチャを書くためにはマルウェアの振る舞いをコードに落とし込むことが必要で、マルウェアの振る舞いについての理解が十分でないとシグネチャを書くことは難しいです。 そのため受講者の方々には事前学習として、マルウェアの一般的な振る舞いを理解してもらう目的でマルウェアをサンドボックスで解析したレポートやマルウェア解析のブログなどを読んでもらいました。
マルウェアの振る舞いについて理解できるようになった後は、シグネチャを書けるようにするためにサンドボックス環境の仕組みやシグネチャとサンドボックスとの関係を理解してもらいました。 講義ではCAPEv2というOSSのサンドボックス環境を使用していたので、CAPEv2の構造やCAPEv2の既存のシグネチャを理解しました。
ここまで来るとマルウェアを検知するシグネチャを開発できるようになっていました。解析対象のマルウェアから特徴的な振る舞いを見つけて、振る舞いを検知するようなシグネチャコードを作成しました。 自分が書いたシグネチャコードが今までサンドボックスに検知されなかったマルウェアを検知できた時は嬉しいです!(自分も受講生と一緒に作成して楽しんでました!)
自分は今回チュータの立場で講義に参加したのですが、普段からマルウェアと触れ合っているという人ではないのでマルウェア関係の講義でサポートできるのかと不安がありました。 今振り返ってもサポートできていたかは微妙ではありますが、受講者視点で講義に参加して受講者の方々と一緒に疑問点を解決したり課題に取り組めた点は良かったと思っています。 またオンライン開催では講師やチュータ側は受講生の反応が無いと進めることが難しいので、受講生の方々には積極的にリアクションをもらえて助かりました。🙇
LT大会
期間内にLT大会が開催されました。LTは短時間で興味がある話がたくさん流れてくるので楽しすぎますね!
自分は今回ELFファイルのデバッグ関連について発表をしましたが、LT制限時間が5分のところを盛大にオーバーしてしまいました。ネタ選び、スライド作成など慣れていないと難しいですね。。
その他
受講者/チュータ/講師/運営が期間中に改善できそうな点を見つけては随時改善して、皆でイベントをより良いものにしていてとても良かったと思いました。
今年もオンライン開催でオフライン開催の時よりはやり辛さを感じることも多かったですが、オンラインベースなのでログが残されていることが多く後で振り返りがしやすい(講義資料がまとまっていたりする)などオンライン開催だからこその良い点もあり、seccamp事業はオンライン開催を経てより良いイベントになっているのではないかと思いました。
最後にseccampの関係者のみなさま、ありがとうございました!
