見出し画像

【CODE BLUE 2023】オリ・デイヴィッド / Ori David

●Abstract


こんにちは!私の名前は [What?]: DHCPを悪用してDNSレコードを偽装する[ja]

Hi! My Name Is [What?]: Abusing DHCP To Spoof DNS Records[en]

今回はテクニカルのカテゴリから「こんにちは!私の名前は [What?]: DHCPを悪用してDNSレコードを偽装する」のオリ・デイヴィッド氏のインタビューをご紹介します。

講師のデイヴィッド氏は、アカマイ在籍のセキュリティ研究者で、攻撃的セキュリティ・マルウェア分析・脅威ハンティングを研究テーマとしています。講演のテーマは、Microsoft DHCPサーバーの不備を悪用したDNSレコードを偽装する攻撃手法の解説となります。
講演概要を読んだ範囲では、攻撃の要因は、ユーザー側の設定ミスによるものなのか、ソフトウェアのバグなのか、あるいはその両方なのか、判断がつきにくい部分もあります。「DNSの設定が難しい」のはネットワーク管理者であればご存じだと思います。こうした攻撃手法が新たに発見されること自体、DNS設定の難しさの証左なのかもしれません。

●Bio

オリ・デイヴィッド [ja]

Ori David [en]

ーーーーーーーーー

●Interview

[ja]インタビュー

Q1. 今回、カンファレンスで発表する研究を始めたきっかけを教えてください。

A1. 研究の道のりは、Active Directory統合DNSの研究に着手したときから始まりました。そこからすぐにDHCP DNS 動的更新の機能を知ることなります。この機能には、興味深いアタック・サーフェスがあることがわかり、深く掘り下げ始めたのです。

Q2. 研究の過程でどのような点で苦労しましたか?

A2. この機能に関する質の高い情報は、オンラインにはあまりありませんでした。マイクロソフトのドキュメントは、主に高いレベルのコンセプトを説明していますが、バラバラに散らばっています。一方、サードパーティのIT記事は一貫性がなく、不正確なのです。
私は、この機能のほとんどすべての面を自分で分析し、その内部メカニズムを理解しなくてはなりませんでした。この間は、情報不足による誤った認識と戦うことになりました。しかし、最終的にはその甲斐がありました。

Q3. CODEBLUEの参加者、参加を検討している人に向けてメッセージをお願いします。

A3. この講演では、レッドチーム・ブルーチームの双方にとって非常に興味深いアタック・サーフェスを探求します。Active Directory、DNS、愉快な論理バグ、あるいはそのすべてに興味をお持ちの方にオススメします。

ーーーーーーーーー

[en]Interview

Q1. How did you initiate your journey into the topic that you are presenting?

A1. My journey began when I started researching Active Directory Integrated DNS, from there I quickly encountered the DHCP DNS Dynamic Updates feature. Once I understood the interesting attack surface that it exposes I began digging into it.

Q2. What were some challenges you faced during this research?

A2. There's not a lot of quality information about this feature online. Microsoft’s documentation is scattered, and describes mainly high-level concepts, while other 3rd party IT articles are inconsistent and inaccurate.
I had to analyze almost every aspect of this feature by myself and understand its internal mechanisms, while combating false perceptions I had due to the lack of information. The final result was definitely worth it though.

Q3. What message would you like to convey to those considering attending this talk?

A3. This talk will explore a new attack surface that is going to be very interesting for both red and blue teamers. If you are interested in Active Directory, DNS, fun logical bugs, or all of the above - this talk is for you.