USRPを使い始める話(1)でこの投稿の構成を以下のように示しました．

1. MatlabでUSRPを動かす
2. USRPのファームウェア及びFPGAイメージのアップデート(前編)
3. USRPのファームウェア及びFPGAイメージのアップデート(後編)

前回はMatlabでUSRPを動かしてみようかなと思ったら，ファームウェアとFPGAイメージのアップデートを要求されたところで終わりました．

今回は2つ目のUSRPのファームウェア及びFPGAイメージのアップデート(前編)ついて書きたいと思います．前編ではファームウェアとFPGAイメージのアップデートをするために必要なUHDというツールのインストールについて書いていきます．

2. USRPのファームウェア及びFPGAイメージのアップデート(前編)

USRPのファームウェア及びFPGAイメージのアップデートを行うには，UHD(Usrp Hardware Driver)が必要です．UHDは，USRPをホストPCから操作することを可能にするドライバです．ホストPCのOSについては，Mac, Windows, Linuxが対応しています．私はMatlabをWindowsで使っているので，WindowsにUHDをインストールしたいところですが，Windowsの環境構築はやや面倒くさそうなので，今回はLinux(Ubuntu)に環境を構築していきます．

Linuxの環境構築方法はこちらのEttusのKnowledge Baseを参考にしました．下記の手順もほぼこれの日本語訳のようなものです．このサイトによると，Linuxは実機環境である必要はなくVMが使えます．ありがたいですね．

UHDのインストール

上述した通り，私はubuntuにインストールしていきますので，以下はUbuntでの手順になります．バージョンは14.04と16.04については試していますが，この二つは依存関係のインストールの際若干必要になるパッケージが異なるので注意してください．ここでは14.04にインストールした時の記録を書いていきます．

必要なパッケージのインストール

UHDに必要なパッケージのインストールです．以下のコマンドを実行．

$ sudo apt-get update
$ sudo apt-get -y install git swig cmake doxygen build-essential libboost-all-dev libtool libusb-1.0-0 libusb-1.0-0-dev libudev-dev libncurses5-dev libfftw3-bin libfftw3-dev libfftw3-doc libcppunit-1.13-0 libcppunit-dev libcppunit-doc ncurses-bin cpufrequtils python-numpy python-numpy-doc python-numpy-dbg python-scipy python-docutils qt4-bin-dbg qt4-default qt4-doc libqt4-dev libqt4-dev-bin python-qt4 python-qt4-dbg python-qt4-dev python-qt4-doc python-qt4-doc libfftw3-bin libfftw3-dev libfftw3-doc ncurses-bin libncurses5 libncurses5-dev libncurses5-dbg   libfontconfig1-dev libxrender-dev libpulse-dev swig g++ automake autoconf libtool python-dev libfftw3-dev libcppunit-dev libboost-all-dev libusb-dev libusb-1.0-0-dev fort77 libsdl1.2-dev python-wxgtk2.8 git-core libqt4-dev python-numpy ccache python-opengl libgsl0-dev python-cheetah python-mako python-lxml doxygen qt4-default qt4-dev-tools libusb-1.0-0-dev libqwt5-qt4-dev libqwtplot3d-qt4-dev pyqt4-dev-tools python-qwt5-qt4 cmake git-core wget libxi-dev gtk2-engines-pixbuf r-base-dev python-tk liborc-0.4-0 liborc-0.4-dev libasound2-dev python-gtk2 libzmq1 libzmq-dev python-requests python-sphinx libcomedi-dev

UHDのビルドとインストール

UHDのソースコードをダウンロードして，ビルドとインストールを行います．

まずはソースコードをビルドする時に使うディレクトリを作ります．

$ cd $HOME
$ mkdir workarea-uhd
$ cd workarea-uhd

次に，gitのリポジトリをクローンし，クローンしたディレクトリに移動します．

$ git clone https://github.com/EttusResearch/uhd
$ cd uhd

次に，ビルドしたいUHDのバージョンを選択します．git的に言うとcheckoutします．以下のコマンドによってリリースしてるバージョンの一覧を確認し，checkoutします．

$ git tag -l
...
release_003_009_004
release_003_009_005
release_003_010_000_000

$ git checkout release_003_010_000_001

次にhostディレクトリに移動し，buildのためのディレクトリを生成します．

$ cd host
$ mkdir build
$ cd build

次に，Makefileを作るためにCMakeを実行します．

$ cmake ../

次に，Makeを実行してUHDをビルドします．

$ make

次に，以下のコマンドを実行することできちんとビルドの工程が完了したか確認できます．

$ make test

次にUHDをインストールします．

$ sudo make install

次にシステムの共有ライブラリのキャッシュをアップデートします．

$ sudo ldconfig

最後に，パスを通します．

$ export LD_LIBRARY_PATH=/usr/local/lib

以上でUHDのインストールが完了します．動作確認はuhd_find_devicesコマンドで確認するのが良いでしょう．接続されているUSRPの情報を表示してくれます．今は何も繋いでいないはずなので，以下のように表示されるでしょう．

$ uhd_find_devices
...

No UHD Devices Found

このUHDを使うことで，USRPのファームウェアとFPGAイメージのアップデートをすることができます．

アップデート方法は次回にしたいと思います．

何らかのファイルに別のファイルが入れ子になっているようなファイルの分析や展開に便利なツールBinwalkのインストール手順のメモです．

環境

• Windows8.1 × Cygwin
• Python2.7

インストール

１．ソースコードのダウンロード

BinwalkのGithubからソースのZIPをダウンロード．もしくは任意のディレクトリにcloneする．

$ wget https://github.com/devttys0/binwalk/archive/master.zip
or
$ git clone https://github.com/devttys0/binwalk.git

２．解凍

ZIPをダウンロードしたディレクトリに移動してZIPを解凍．

$ cd 任意のディレクトリ
$ unzip master.zip

３．インストール

ZIPの中にsetup.pyがあるので，管理者権限でCygwinを起動して以下のコマンドを実行．Linux環境ならsudoすればよい．

$ cd binwalk-master
$ python setup.py install

 動作確認

ヘルプが表示されればきちんとインストールされている．

$ binwalk


Binwalk v2.1.2b
Craig Heffner, http://www.binwalk.org

Usage: binwalk [OPTIONS] [FILE1] [FILE2] [FILE3] ...

Signature Scan Options:
以上になります．
<h3>参考</h3>
<ul>
    <li><a href="https://github.com/devttys0/binwalk">Github - Installation -</a></li>
    <li><a href="https://github.com/devttys0/binwalk/wiki/Quick-Start-Guide">Github - Binwalkwiki Get started -</a></li>
</ul>     


    
    
  

NTTコミュニケーションズ主催の攻撃分析ハッカソンに参加してきました．抽選でしたが当選しました．ハッカソンに参加するのは初めてで，ちょー疲れましたし結果も残せませんでしたが，とても楽しいイベントで良い経験になったので参加報告させていただきます．

開催概要

正確には，Tech Workshop 「攻撃分析ハッカソン～いま、何が起きている？～」というNTTコミュニケーションズの開催する技術ワークショップです．NTTコミュニケーションズさんとしてもハッカソンというのは初の試みのようです．

主な内容は以下になります．

• 午前 (10:30-11:45) : CTF入門
• 午後 (13:00-18:00): 攻撃分析ハッカソン，発表，投票

午前中は，実務にも使えるCTFの技術について，簡単な問題を解きながら解説していただきました．

午後から攻撃分析ハッカソンの開始で，5時間の制限時間の中で指示されたお題に関するハッカソンを行います．

午前中のCTFについては取り急ぎ割愛し，午後の攻撃分析ハッカソンについて書きたいと思います．

攻撃分析ハッカソン

攻撃分析ハッカソンは，ハニーポットのデータを使ったハッカソンです．ハニーポットのデータを使うということは当選前から知らされていました．

当日知らされたテーマは，「ハニーポットのアクセスデータ分析」です．最終目的は，「このデータから分かる攻撃や傾向についての分析結果を示す」ということですがその方法は自由で，可視化するもよし，シェル芸で解析するもよし，ハニーポットのデータを使っていれば何でもありみたいな感じでした．

また，事前にハニーポットのログ分析の例を解説していただいたり，競技中に度々アイディアのヒントみたいなものをいただけたりして，学びつつ・作りつつ・分析する，といった感じでした．

評価基準

明確な評価基準は明かされていませんでしたが，ハッカソンの解説をしてくださった社員方の発言と，実際の審査結果から，以下の二つが評価されていたと考えます．

• データ分析における着眼点
• 分析で用いた技術力 (実装・理論・シェル芸)

と言っても評価するのは社員さんだけでなく参加者(社員さん6人くらい，参加者15人くらい)もなので，必ずしも上記2点だけとは限らないかもしれません．

しかし実際のところ，この2点による厳正な審査であったと感じています．それは結果を見れば明らかでした．一人2票，投票権を持っており，優秀な参加者が2人選ばれるという方式だったのですが，上位二人は上記2点において非常に優れており，納得の結果でした．1位の方は，UDP通信の多さとDistination Portの1900ポートの多さ(UPnP)から，SSDPリフレクション攻撃に着目し，見事な分析をしていました．

扱ったデータ

データは12月の1ヶ月間のデータで，受ける通信のみです．また，予めエフェメラルポートの通信を除去してあるという親切設計でした．形式はJSON形式でしたが，何のハニーポットを使っていたかは聞きそびれてしまいました．

競技中

5時間という時間をどう使うかが重要ですが，皆さん最初はデータを用いて何をするかを考えていたと思います．分析しなければいけないのは当たり前なのですが，分析をするにあたり「どこに着目しようか」，「とりあえず可視化してみて当たりをつけようか」などです．事実，社員さんが言うには，分析は大きく分けて，以下の二通りの進め方であり，私もそれに共感いたしました．

• セキュリティに関する知識を元に，事前にここが怪しいと仮説を立ててその仮説を証明できるよう分析を進める(ドメイン知識を元に仮説を立て分析)
• 可視化をして膨大なパケットや特徴的なパケットを見極め，そのデータをフィルタリングしたりして分析を進める(探索発見的データ分析)

前者であれば，「UPnP->SSDPリフレクションが怪しい」，「クリスマス，大晦日の通信には何か特徴があるのではないか」等を考え，後者は「22番ポートは多すぎるから省いたが，すると23番ポートも多いことがわかる(TelnetはMiraiが使う)」，「ウェルノウンポートを除いた中で，7547ポートへの通信が目立つ(こちらもMiraiが使うとされる)」などを考えるということです．なお，参加者の中には，「取りあえずJSON眺めてたらShellShockの攻撃コード見つけた」という強者もいました．

競技中は積極的に社員さんに質問することが許されていました．攻撃分析ハッカソンと言ってはいますが，参加者の中にはセキュリティを専門としない別領域の専門の方も多くいらっしゃいました．その方々はセキュリティの知見を社員さんに聞きながら，自然言語処理の技術・SQLによる文字列操作の経験，など自分の専門分野の知見も活かして分析を有利に進めていました．かくいう僕も質問をさせていただき，データのどこに注目すると分析を進めやすいかなど教えていただいて，とても勉強になりました．(普段私は電波を再帰反射してあれしてあれするみたいなことをしています)

73Spicaの成果物

私はハッカソンに参加を決めたときから，「可視化に力を入れたい」と決めていました．理由は単純で，ハニーポットのデータは扱ったことが無く，どんなデータがあるのか目で見てみたいという願望があったからです．また，ハニーポットのデータの扱いが未経験であるハンデを少しでも減らすため，見慣れていないデータの概要が一目で分かる可視化ツールを作ることで，上述した「探索発見的データ分析」を行おうと考えたからです．

有名な可視化のツールとしてKibanaがありますが，今回は使いませんでした．私はKibanaを使ったことが無かったため，「競技時間の5時間で環境構築を行い適切なデータ処理を行うのは困難ではないか?」と考えたからです．そこで私の得意なJavaScriptやHTML5のスキルを活かして，自分で可視化するツールを作ろうと思い立ちました．(せっかく「ハッカソン」と名の付くイベントなので何か作ってみたかったという考えもありました．ハッカソンというイベントは初参加だったのでワクワクしていました．)

以上の理由で，私は「WEBベースの可視化ツール」を作りました．ツールと言っても，時間の関係もありまして，「WEBのUIでファイルを読み込ませたら自動で解析！」というものではなく，Pythonで解析して得たデータをグラフ化していい感じに表示するUIを作った，という感じです．

下図がデモです．

この可視化データでは，

• 国別時間帯データより，自動で攻撃している可能性が高い
• 国別時間帯データより，１時間毎のデータが見えていることから，VNの通信は１時間毎に実行されるボットである可能性が高い
• Telnetの多さや7547ポートの通信から，Miraiやその亜種による通信がある可能性が高い

などの情報が分かりやすく可視化されていると思います．1位の方がおっしゃっていたUDPの1900ポートの通信の多さも伺えます．

使ってるものの簡単な説明や工夫した点は以下．UIはこのブログライクにしてみました．

• 解析 : Python2.7
• グラフ : Chart.js
• UI : JavaScript, HTML5(Canvas), CSS
• IPと国の対応 : GeoIP(Python)
• 見やすいことを心掛けた
• Chart.jsは動的にグラフを変えられるので，それが活かせるようなグラフを作った
• PythonでのJSON解析は，1ループでデータを取れるようにし，辞書やSetなどを用いるようにして高速化を図った．

発表

発表は一人3分の簡単なものでした．成果物が目に見える可視化ツールだったので，「スライドなどは作らず、ツールを見せながら説明すれば良さそう」と思っていたら，スライドの発表者ツールが使えないせいで時間のマネジメントができず、タイムオーバーで死にました．(学会発表では完全にツールに頼り切っています)

社員の方が時間ぴったりでプロジェクターのシャッターを閉じてしまうので、多少であれば話続けさせてくれる慈悲もありませんでした。

反省・改善点

今回の敗因は以下にあると考えます．

• ツールに力を入れすぎて肝心の攻撃分析が足りなかったこと
• その不足を補うような成果発表ができなかったこと

前者が大きい原因だと言えます．今回はあくまで「ハニーポットのデータから分かる攻撃や傾向についての分析結果を示す」ことが目的であり，可視化ツールは探索発見的データ分析の道具にすぎません．

また成果発表において，上述したような可視化から分かる事象(Miraiと思われる通信の多さ等)を指摘したり，このツールが分析において有用であるということをアピールできれば良かったのですが，それを上手く伝える発表ができませんでした．

今後は攻撃分析を行えるよう知識を付けると共に，上記のような点を改善できればと思います．

ツールの改善点としては，入力としてファイルを渡せば一気に最後まで解析をしてくれるような改善をすると使いやすくなると考えています．

感想

最初にも書きましたが，とても楽しく勉強になりました．最後には社員さんからの分析結果の発表もあり，最近のセキュリティの動向を知ることもできました．また社員さんとお話することもできたため，セキュリティ業務の内容について理解を深めることができました．個人的にはとても良いイベントだと感じました．

余談

1位,2位は共に有名CTFチーム「TomoriNao」のメンバーでした．さすがの知識と分析力でした。

            Githubで<strong>CTF</strong>関係のリポジトリ作りました．

https://github.com/73spica/ctf

2016/12/24現在，内容としては以下の2点となっております．

• 過去のCTFのWrite-up
• 自作モジュール

まだ解いたやつ全部載せられていませんが，今後充実させていければ良いかなと考えています．