ということで連日のハードスケジュールに参加してきました。謎なチーム？でしたがまぁあまり気にしないように(笑)　全体的雰囲気としては初日は防御側が少なめ。中日は祝日だったこともあってどちらも大盛況。最終日は攻撃側が少ないといった感じです。SecureOSに関してはかなり熱いモノがありました。

• セキュリティ・スタジアム2004の個人的なまとめ (yoggy's diary)
• セキュスタ個人的まとめ(SecuDiary)
• 原田季栄の仕事ページ
• 原田季栄の仕事ページ/セキュリティスタジアム2004

私ががんばったのは二日目の夕食の量と最終日のアルコールの量...という冗談はさておき、今回は攻撃よりも防御側、監視側に力を入れました。
防御側ホストとしてWindowsとLinuxあたりをいくつか準備し、Sebekでリアルタイム監視をしようとたくらんだのですがサーバとなるLinuxが前夜に飛んでしまい、WindowsのみBienvenue sur le site de SecurIT Informatique Inc.のComlogを利用、Linuxは放置の方向で．．．Comlogはcmd.exeに置き換えてインストールしコマンドの記録を取得してくれます。インストールにはWFPの無効化が必要ですが、どうも完全に無効化できなかったのか非常に不安定なシステムになってしまいました。
ネットワーク上の通信データは3GBオーバーになりましたので解析はこれから。
監視の成果としては侵入して頂いた某社長様の動きがしっかりと記録されており、DCOM経由で侵入後System32やProgram Filesあたりを探って、デスクトップにファイルを作成して頂きました。System32はcmd.exeを置き換えた残骸、Program Filesには各種ツールを隠しておいてあったのですが見つけられずにすんだみたい。
C:\の直下に置き忘れたfport.exeを実行していました。よく知られたツール名でおいておくと攻撃者が実行してくれるかも？

• Sebek
• Bienvenue sur le site de SecurIT Informatique Inc.
• Windowsファイル保護（WFP）に関するメモ(Port139)

最終日は宿題としてBlackHatJAPAN2004やBugtraqあたりでSecurityFridayさんが言っているIMGリンクでSMB認証パケットの取得とかをしてみました。こんな感じのパケットが取得できまして

Case insensitive password:  9EBE6AD1EB3DE4F79ED16161FC2A60A957E9A1B79540C374
Case sensitive password:    F42880DFAC5DCD562BC9D1ED129F4647A1AAEA6F89930C98

っでこれをごにょごにょとして頂くとパスワードが10文字で前半7文字が40秒、後半が1秒で解読できるそうです（怖　ただこれをしかけても攻撃者のパスワードをリアルに取得してしまうので微妙だなぁとこっそりと放置していました。

• Automatically passing NTLM authentication credentials on Windows XP(SecurityFriday)
• SMBRelayについての覚え書き(bogus.jp)
• The SMB Man-In-the-Middle Attack(xfocus.net)

っていうか私自身もっと精進しないとだめなことがわかりました(´Д`;

補足：
今回攻撃が成功した人の報告というのが無かったので次回はそのへんをして欲しいと要望としてあげておきました。近いうち？にあるっぽいので。