SECURITY 560

小規模なエンゲージメント、偵察、スキャン

セクション1では、クレデンシャルスタッフィング攻撃を例に、ペネトレーションテストの考え方を紹介します。その後、インフラストラクチャの設定、Linuxの基礎知識、そして事前のエンゲージメント計画について学習します。OSINTを用いた組織情報の収集のための偵察活動について深く掘り下げ、最後にMasscanとNmapによるスキャンでアクティブなホストとサービスを特定します。

取り上げられるトピック

• ペネトレーションテストのフレームワークと方法論
• インフラストラクチャの設定とLinuxの基本事項
• 事前エンゲージメントとエンゲージメントルール
• OSINTと偵察手法
• MasscanとNmapによるポートスキャン

ラボ

• ラボ1.1：侵入へのクレデンシャルスタッフィング
• ラボ1.2：偵察とOSINT
• ラボ1.3：Masscan
• ラボ1.4：Nmap

概要

セクション1では、小規模な攻撃演習を通して攻撃ライフサイクル全体を実証し、効果的なエンタープライズペネトレーションテストの基礎を構築します。その後、偵察およびスキャン手法について深く掘り下げます。

受講者はまず、初期アクセスを実現するクレデンシャルスタッフィング攻撃の全体像を目の当たりにし、ペネトレーションテストの考え方をすぐに体験し、個々の手法がどのように組み合わさって侵入を成功させるかを理解します。次に、インフラストラクチャのセットアップ、Linuxコマンドラインスキル、そして専門的な事前調査プラクティスといった必須スキルを体系的に習得し、重要な偵察フェーズへと進みます。組織情報の収集、インフラストラクチャの特定、侵害された認証情報の収集、OSINTによる従業員の列挙を学習することで、受講者は実際の攻撃者が標的型攻撃をどのように準備するかを理解します。

セクションの最後には、大規模なポートを迅速に検出するMasscanと、詳細なサービス列挙を行うNmapの両方を網羅した包括的なスキャン手順を解説し、攻撃対象領域と標的環境への潜在的な侵入ポイントを特定するために必要な技術的基礎を提供します。

ラボの詳細

• ラボ 1.1: 侵入へのクレデンシャルスタッフィング
• ラボ 1.2: 偵察とOSINT
• ラボ 1.3: Masscan
• ラボ 1.4: Nmap

トピックスの詳細

• Getting Started：このモジュールでは、エンタープライズペネトレーションテストの基礎フレームワークを構築し、コース全体を通して必要となる基本的な考え方、概念、および方法論を受講者に紹介します。
• Miniature Engagement：このモジュールでは、実践的な攻撃のハンズオンデモンストレーションを通して、ペネトレーションテストのワークフロー全体を集中的かつ包括的に紹介します。
• Building an Infrastructure：このモジュールでは、運用と実践の両方において、堅牢で安全かつ効率的なテスト環境を構築することで、プロフェッショナルなペネトレーションテストの基本要件に対応します。
• Linux for Penetration Testers：このモジュールでは、権限構造、ファイル権限、システム偵察に焦点を当て、効果的なペネトレーションテストに必要なLinuxコマンドラインスキルとセキュリティ概念を学習します。
• Pre-engagement：このモジュールでは、包括的な計画、スコープ設定、承認手順、そして法令遵守と運用上の安全性を確保する交戦規則を通して、侵入テストを成功させるための重要な基盤を構築します。
• Reconnaissance Overview：このモジュールでは、受動的な偵察と能動的な偵察の両方の手法を用いた体系的な情報収集と分析を通して、効果的な侵入テストのための重要な基盤を構築します。
• Scanning Goals, Types, and Tips：このモジュールでは、能動的なネットワーク偵察のための戦略的フレームワークを構築し、慎重に調整されたスキャンの種類を通して、受動的な情報収集をターゲットとの直接的なインタラクションへと転換します。
• Port Scanning：このモジュールでは、侵入テスターがTCPおよびUDP通信のプロトコル操作と応答分析を通して、ターゲットシステム上のオープンサービスを体系的に検出する方法について、深い技術的理解を提供します。
• Masscan：このモジュールでは、ステートレスアーキテクチャを用いた革新的な高速ポートスキャン手法を紹介します。この手法は、大規模ネットワーク偵察における従来のツールと比べて桁違いのパフォーマンス向上を実現します。
• Nmap: このモジュールでは、世界で最も広く使用されているネットワーク偵察ツールの機能を探り、単純なポート スキャナーから包括的な脆弱性評価プラットフォームへとどのように進化してきたかを示します。

スキャンと初期アクセス

セクション2では、Nmapの高度なスキャン機能について、バージョンとOSの検出、そして脆弱性に対するスクリプト作成を詳細に解説します。さらに、パスワード攻撃、AzureおよびEntra IDスプレー攻撃、そしてResponder、Metasploit、Meterpreterを使用したネットワークエクスプロイトによる初期アクセスについて学習し、侵害を受けたシステムへのアクセスと制御を行います。

取り上げられるトピック

• NmapのバージョンとOSの検出
• Nmapスクリプトエンジンと脆弱性スキャン
• パスワード推測とスプレー攻撃
• AzureおよびEntra IDの偵察
• Responderを使用したネットワークプロトコル攻撃

ラボ

• ラボ2.1：バージョンスキャン、OSの検出、NSE、GoWitness
• ラボ2.2：パスワード推測
• ラボ2.3：Azure偵察とパスワードスプレー
• ラボ2.4：Responder
• ラボ2.5：MetasploitとMeterpreter

概要

セクション2では、偵察と基本的なスキャンから、実際の侵入テストを模倣した複数の攻撃ベクトルを用いた初期アクセスの取得へと移行します。

このセクションでは、まずバージョン検出、オペレーティングシステムのフィンガープリンティング、そして脆弱性検出と詳細なサービス列挙を自動化する強力なNmapスクリプトエンジンを通して、Nmapスキルを習得します。受講者はこれらのスキャン機能を活用して、悪用可能なサービスや設定ミスを特定する方法を学びます。次に、パスワードスプレーやSMBおよびSSHサービスに対する標的型パスワード推測などのパスワードベースの攻撃から始めて、初期アクセス手法を体系的に解説します。クラウド環境については、AzureおよびEntra IDの偵察、ユーザー名列挙、そしてMicrosoftクラウドサービスのシングルファクター認証を悪用するパスワードスプレー攻撃まで、包括的に解説します。Responderを使用したネットワークベースの攻撃では、攻撃者がNTLM認証を傍受して中継し、有効な資格情報なしで不正アクセスを取得する方法を実証します。

最後に、Metasploit Frameworkでは、エクスプロイトモジュール、ペイロード生成、そして永続的なコマンドアンドコントロールを確立するMeterpreterセッションについて、実践的な体験を提供します。これらの手法を組み合わせることで、受講者は攻撃者が境界防御を突破し、標的環境に最初の足掛かりを築くために使用する複数の経路を理解します。

ラボの詳細

• ラボ 2.1: バージョンスキャン、OS検出、NSE、GoWitness
• ラボ 2.2: パスワード推測
• ラボ 2.3: Azure Reconとパスワードスプレー
• ラボ 2.4: Responder
• ラボ 2.5: MetasploitとMeterpreter

トピックスの詳細

• NmapによるOSとバージョンのスキャン
• Netcat
• GoWitnessとEyeWitness
• 脆弱性スキャン
• Nmapスクリプトエンジン
• 初期アクセス
• パスワード推測
• Azure入門
• Entra ID
• Azure Recon
• Azureパスワード攻撃
• スニッフィングとリレー
• Responder
• エクスプロイト
• エクスプロイトのカテゴリ
• MetasploitとMeterpreter

ポストエクスプロイト

セクション3では、ポストエクスプロイトに焦点を当て、Mimikatz、Metasploit、Hashcatを用いた認証情報アクセスについて学習します。受講者はSliverを用いたC2スキルを習得し、回避型ペイロードを作成し、Seatbeltなどのツールを使用してLinuxおよびWindowsにおける状況認識を行います。このセクションの最後には、Windowsにおける管理者アクセスを取得するための権限昇格手法について学習します。

 取り上げられるトピック

• 認証情報収集とパスワードダンプ
• Hashcatを用いたオフラインパスワードクラッキング
• Sliverを用いたコマンドアンドコントロール
• ペイロードの生成と配信
• WindowsおよびLinuxにおける状況認識

ラボ

• ラボ3.1: MSF psexec、hashdump、Mimikatz
• ラボ3.2: Hashcat
• ラボ3.3: Sliver
• ラボ3.4: ペイロード
• ラボ3.5: Seatbelt

概要

セクション3では、侵入テスト実施後の重要なフェーズに焦点を当てます。侵入テスト実施者は、防御策が侵入を検知・対応する前に、迅速に状況認識を確立し、資格情報を収集し、権限を昇格させ、アクセスを維持する必要があります。

攻撃者の攻撃と防御側の対応の競争は、最初のアクセス直後から始まるため、侵入テストを成功させるには、効率的な侵入後処理技術が不可欠です。受講者は、Metasploitの組み込み機能と、メモリからプレーンテキストのパスワード、Kerberosチケット、NTLMハッシュを収集する強力なツールMimikatzの両方を用いて、侵害されたWindowsシステムからパスワードハッシュを抽出する方法を学習します。これらの資格情報は、ターゲット環境全体でのラテラルムーブメントと権限昇格を可能にします。Hashcatを用いたオフラインパスワードクラッキングは、辞書攻撃、ルールベースのミューテーション、ブルートフォース攻撃によって、取得したハッシュをプレーンテキストのパスワードに変換し、セキュリティ推奨事項の根拠となるパスワードパターンを明らかにします。

現代のコマンド＆コントロールには、Metasploitを超えるフレームワークの理解が必要です。そのため、Sliver C2フレームワークは、インプラント生成、マルチプレイヤー機能、実行アセンブリなどの手法による高度なペイロード実行など、最新のレッドチームツールの実践的な体験を提供します。ペイロードの生成と配信については包括的に解説し、ウイルス対策システムやエンドポイント検出システムを回避しながら悪意のあるペイロードを作成・配信する方法を解説します。状況認識はその後のすべてのアクションの基盤となり、受講者はWindowsとLinuxシステムの両方でシステム情報、実行中のプロセス、ネットワーク接続、セキュリティ制御を列挙できるようになります。SeatbeltツールはWindowsの包括的な列挙を自動化します。

最後に、Windowsの権限昇格手法では、引用符で囲まれていないサービスパス、脆弱なファイル権限、脆弱なサービス、安全でないレジストリ設定など、標準ユーザーがSYSTEMとしてコードを実行できるようにする一般的な構成ミスを特定し、それを悪用する方法を受講者に教えます。これにより、適切なシステム強化がエンタープライズセキュリティにとって不可欠である理由が示されます。

ラボの詳細

• ラボ 3.1: MSF psexec、hashdump、Mimikatz
• ラボ 3.2: Hashcat
• ラボ 3.3: Sliver
• ラボ 3.4: Payloads
• ラボ 3.5: Seatbelt
• ラボ 3.6: Windows 権限昇格

トピックスの詳細

• パスワードと認証情報へのアクセス
• パスワード表現
• パスワードハッシュの取得
• Hashcat
• 想定される侵害
• コマンドアンドコントロール (C2)
• Sliver
• Payloads
• エクスプロイト後
• 状況認識
• Linux 状況認識
• Windows 状況認識
• Seatbelt
• 権限昇格
• Windows 権限昇格

ドメイン権限昇格とラテラルムーブメント

セクション4では、サービスアカウントのクラッキングにKerberosとKerberoastingを使用する方法、攻撃パスマッピングにBloodHoundを使用する方法、権限昇格にADCSエクスプロイトを使用する方法について解説します。受講者はSSH、Impacket、ネイティブツールを用いたラテラルムーブメントの演習を行い、MetasploitとC2フレームワークを用いてPass-the-Hashとピボット攻撃を実行します。

取り上げられるトピック

• Kerberos認証とKerberoasting
• 攻撃パス分析にBloodHoundを使用する方法
• Active Directory証明書サービスのエクスプロイト
• WindowsおよびLinuxからのラテラルムーブメント
• Impacketツールキットの使用方法

ラボ

• ラボ4.1：Kerberoasting
• ラボ4.2：BloodHound
• ラボ4.3：Active Directory証明書サービス
• ラボ4.4：Windowsからのラテラルムーブメント
• ラボ4.5：Linuxからのラテラルムーブメント

概要

第4章では、企業ネットワーク全体にわたるドメイン権限の昇格とラテラルムーブメントを可能にするActive Directory特有の攻撃に焦点を当てます。Active Directoryは、現代のWindows環境では認証は完全にKerberosに依存しているため、Kerberos認証を理解することがこれらの攻撃の基礎となります。受講者は、Kerberosチケットの仕組み、サービスプリンシパル名によるサービスの識別方法、そして特に重要なKerberos攻撃が、サービスアカウントのパスワードで暗号化されたサービスチケットを要求することで、このプロトコルを悪用する仕組みを学習します。このサービスチケットは、防御側に警告されることなくオフラインで解読可能です。

BloodHoundは、ディレクトリをグラフデータベースとして表現することでActive Directoryの攻撃計画に革命をもたらし、侵害されたアカウントからドメイン管理者に至るまでの、手動で特定することはほぼ不可能で複雑な攻撃経路を明らかにします。このツールは、権限、グループメンバーシップ、ローカル管理者の権限、セッション情報を分析して、権限昇格とラテラルムーブメントの経路をマッピングします。 Active Directory 証明書サービスは、テンプレートの設定ミスによって新たな攻撃ベクトルを導入します。ESC1（任意のユーザーによる証明書要求の許可）、ESC4（脆弱な証明書テンプレートの権限）、および ESC8（NTLM リレーによる Web 登録）について詳細に説明します。

これらの攻撃は、他の権限昇格ルートが強化されている場合でも、ドメイン支配へのパスを頻繁に提供します。ラテラルムーブメントの手法については、Windows と Linux の両方の攻撃プラットフォームで包括的に扱われ、ネイティブの Windows リモート管理ツール、ネットワーク境界を越えてシステムにアクセスするためのローカルおよび動的ポート転送による SSH トンネリング、そして従来のツールをアップロードすることなくリモートコマンド実行、ファイル操作、資格情報のダンプを可能にする Python で Windows プロトコルを実装した強力な Impacket ツールキットが網羅されています。Pass-the-Hash 攻撃は、パスワードを解読することなく資格情報の再利用を可能にし、キャプチャした NTLM ハッシュを直接認証に使用して他のシステムにアクセスします。

最後に、Metasploit と最新の C2 フレームワークの両方を使用したピボット手法により、侵害されたシステムを踏み台として、通常はアクセスできないネットワークセグメントに到達する方法を学生に教えます。これは、ネットワークがセグメント化された環境における侵害の潜在的範囲を完全に実証するために不可欠です。

ラボの詳細

• ラボ 4.1: Kerberoasting
• ラボ 4.2: BloodHound
• ラボ 4.3: Active Directory 証明書サービス
• ラボ 4.4: Windows からのラテラルムーブメント
• ラボ 4.5: Linux からのラテラルムーブメント
• ラボ 4.6: Impacket
• ラボ 4.7: C2 ピボットと Pass-the-Hash

トピックの詳細

• Kerberos
• Kerberoasting
• BloodHound
• Active Directory 証明書サービス (AD CS) と攻撃
• Windows からのラテラルムーブメント
• Linux からのラテラルムーブメント
• Impacket
• Pass-the-Hash
• ピボット
• C2 ピボットと Pass-the-Hash

パーシステンスと制御の回避

セクション5では、レジストリ編集、タスク、WMIを介したパーシステンスと、AMSIおよびEDR防御の回避について学習します。受講者は、専門的なレポート作成、Pass-the-Ticket、DCSync、ゴールデンチケット/シルバーチケットなどの高度なAD攻撃について学習した後、Azure認証、RBACの悪用、マネージドIDを標的としたクラウドエクスプロイトへと進みます。

取り上げられるトピック

• パーシステンスのメカニズムと手法
• AMSI、AV/EDR、アプリケーション制御の回避
• 侵入テストレポートのベストプラクティス
• 高度なKerberos攻撃とドメイン支配攻撃
• ゴールデンチケットとシルバーチケットの偽造

ラボ

• ラボ5.1：パーシステンス
• ラボ5.2：MSBuildとアプリケーション制御のバイパス
• ラボ5.3：ドメイン支配
• ラボ5.4：ゴールデンチケット
• ラボ5.5：シルバーチケット

概要

このセクションでは、高度なペネトレーションテストと基本的な脆弱性評価を区別する、永続性の維持、検出の回避、ドメイン支配の達成、クラウドインフラストラクチャの悪用といった高度なトピックを取り上げます。

永続性メカニズムは包括的に網羅され、レジストリ実行キー、スケジュールされたタスク、Windowsサービス、WMIイベントコンシューマー、スタートアップフォルダの操作など、システムの再起動を乗り切るための複数の手法を学習します。永続性を理解することは、攻撃チームが長期的なエンゲージメント中にアクセスを維持し、防御チームがインシデント対応中に侵害の兆候を特定するのに役立ちます。

最新の防御技術はペネトレーションテスターに​​とって大きな課題となっています。そこで本章では、PowerShellと統合されたマルウェア対策スキャンインターフェース（AMSI）のバイパス、ポリシー変更によるWindows Defenderの無効化、エンドポイント検出および対応製品における動作検出の回避、MSBuildなどの信頼できるWindowsバイナリを悪用して悪意のあるコードを実行することでAppLockerなどのアプリケーション制御ソリューションを回避するといった回避手法を取り上げます。

専門的なレポート作成は、ペネトレーションテストの価値提供において重要な要素です。そのため、受講者は、エグゼクティブサマリー、技術的発見事項の文書化、リスク評価と優先順位付け、証拠に基づく再現手順、そして組織がテスト結果に基づいてセキュリティ体制を改善するための実用的な改善推奨事項など、効果的なレポート作成手法を習得します。

高度なActive Directory攻撃は、標準的な権限昇格を超えた手法を用いてドメイン支配を可能にします。これには、盗まれたKerberosチケットを再利用するPass-the-Ticket攻撃、NTLMハッシュを使用してKerberosチケットを要求するOverpass-the-Hash（Pass-the-Keyとも呼ばれる）、ドメインコントローラーを偽装してすべてのドメインアカウントのパスワードハッシュを複製するDCSync攻撃、マスターパスワードを許可するようにドメインコントローラーの認証にパッチを当てるスケルトンキー攻撃、そしてすべてのドメイン資格情報を含むActive Directoryデータベース全体を盗むNTDS.dit抽出攻撃が含まれます。ゴールデンチケット攻撃は、任意の権限と延長された有効期間を持つ偽造Kerberosチケット認可チケットを作成し、パスワード変更後も長期間にわたって無制限のドメインアクセスを許可します。シルバーチケットは、特定のリソースに対して偽造されたサービスチケットを作成し、ドメインコントローラーに接続することなく、個々のサービスへのステルスアクセスを可能にします。WebアプリケーションにおけるOpenID Connectの脆弱性は、認証プロトコルの実装がどのように悪用されるかを示しています。

最後に、このセクションではAzureのセキュリティについて解説します。具体的には、仮想マシン、ストレージアカウント、ネットワークなどのAzureインフラストラクチャ、Azure VM上での様々な方法でのコマンド実行、クラウド環境における権限を管理するAzureロールベースアクセス制御（RBAC）の理解、保存された資格情報なしでAzureリソースが他のサービスに対して認証できるようにするマネージドIDの悪用について解説し、包括的な侵入テストでは、最新のハイブリッド環境においてオンプレミスとクラウドの両方のインフラストラクチャに対応する必要があることを説明します。

ラボの詳細

• ラボ 5.1: 永続性
• ラボ 5.2: MSBuild とアプリケーション制御のバイパス
• ラボ 5.3: ドメイン支配
• ラボ 5.4: ゴールデンチケット
• ラボ 5.5: シルバーチケット
• ボーナスラボ: Azure 経由のコマンド実行

トピックの詳細

• 永続性
• ngrok を使用した信頼済みサイトからの保護
• AV/EDRの回避
• アプリケーション制御のバイパス
• レポート
• その他のKerberos攻撃
• ドメイン支配
• ゴールデンチケット
• シルバーチケット
• OpenID
• Azureインフラストラクチャ
• Azureでのコマンド実行
• Azureでのアクセス許可

CTFと次のステップ

セクション6は、チームベースのキャプチャ・ザ・フラッグ（CTF）イベントで締めくくられます。これは、学習したスキルを対象ネットワーク全体に適用するものです。その後、受講者はクラウドペネトレーションテストのリソース、GIAC GPEN試験対策、自宅ラボのガイダンス、そしてGame of Active Directoryなどの高度なトレーニングを通して、攻撃スキルを磨くための次のステップを探ります。

トピックの詳細

• キャプチャ・ザ・フラッグ・コンペティション
• クラウドペネトレーションテストのリソース
• GIAC GPEN試験対策
• 自宅ラボ環境の構築
• 高度なトレーニングと演習

ラボの詳細

• CTF：マルチネットワークペネトレーションテスト・コンペティション

概要

セクション6では、6日間のトレーニングで習得したすべてのテクニックを駆使する包括的なキャプチャー・ザ・フラッグ（CTF）競技を通して、本コースの集大成となる体験を提供します。

特定のスキルに焦点を当てた個別のラボとは異なり、CTFでは、実際の企業環境を反映した、現実的なセキュリティ制御、設定ミス、脆弱性を持つ複数の相互接続されたターゲットネットワークが提示されます。受講者はチームに分かれて、偵察から権限昇格、ラテラルムーブメント、目標達成まで、包括的なペネトレーションテストを実施し、その過程で発見したフラグに応じてポイントを獲得します。競技形式は、コラボレーション、創造的な問題解決、そして複数のテクニックを攻撃パスに繋げる能力を育成します。成功には、技術的なスキルだけでなく、コースを通して培ったペネトレーションテストのマインドセット、つまり戦略を転換するタイミング、ターゲットの優先順位付け、そして特定の状況にどのテクニックが適用されるかを理解することが求められます。この競争要素は、防御側がアクティビティを検知し対応する可能性のある、実際のペネトレーションテストにおける時間的制約をシミュレートする緊迫感をもたらします。

CTF終了後、このセクションは専門能力開発ガイダンスへと移行し、受講者がコース終了後もペネトレーションテストの学習を継続できるよう支援します。クラウドペネトレーションテストのリソースは、ますます重要性を増すクラウドセキュリティ評価に対応し、Azure、AWS、GCP固有の攻撃手法を学習するための出発点を提供します。GIAC GPEN認定試験対策についても、試験形式、学習戦略、インデックス作成の推奨事項、そして認定取得の成功を最大限に高める模擬試験のアプローチなど、綿密な検討が行われます。

効果的な自宅ラボを構築することで、仮想化プラットフォーム、脆弱なマシンリソース、そして安全で法的な実務環境のためのネットワーク構成に関するガイダンスが提供され、継続的な実践とスキル開発が可能になります。Game of Active Directory (GOAD)のような高度なトレーニング環境では、脆弱なActive Directoryフォレストが文書化されており、受講者は現実的でありながら意図的に脆弱な環境で複雑な攻撃チェーンを練習できます。その他のリソースは、受講者をバグバウンティプログラム、設計段階から脆弱性を狙ったアプリケーション、そしてより広範な情報セキュリティコミュニティへと導きます。

実践的なCTF体験と継続教育およびスキル開発のための明確なガイダンスを組み合わせることで、セクション6では、受講者が最新の知識だけでなく、ペネトレーションテストのキャリアにおける長期的な成功に必要なリソースと方向性を習得できるよう支援します。

ラボの詳細

• CTF：コースの全テクニックを適用したマルチネットワーク侵入テスト競技

トピックの詳細

• CTF準備
• 次のステップ