FORENSICS 508

先進的なインシデントレスポンスと脅威のハンティング

あなたを標的にしている攻撃者に対して利点を得る方法があります。それは、正しい考えや何が効果的であるかを知ることから始まります。

この10年は、ネットワークディフェンダーにとって決して親切なものではありませんでした。現代の企業に対する脅威は無数にあり、攻撃者は企業ネットワークの計り知れない複雑さを利用して私たちを攻撃してきました。しかし、潮目は変わりつつあります。過去10年間で、組織に対する巧妙な攻撃が劇的に増加しています。中国やロシアのような国の諜報サービスに端を発した国家による攻撃は、しばしばAPT（Advanced Persistent Threat）と呼ばれていますが、これを抑制することは困難であることが判明しています。世界のあらゆる場所からの大規模な金融攻撃は、数十億ドルの損失をもたらしました。ランサムウェアによる財産強要は、ほぼ一夜にして実存する脅威となりました。私たちには不利な状況にありますが、一方で、最高のチームがこれらの脅威を管理し、軽減することが可能であることも証明しています。FOR508は、そのような苦労の末に得られた教訓を講義に反映し、皆様に提供することを目的としています。

このコースは、組織が侵入を検知して対応する能力を高めることを目的としています。これは達成可能な目標であり、ネットワーク内の悪を発見するために必要なツールとテクニックを教えることから始まります。このコースは、あなたとあなたの組織をソリューションの不可欠な一部にするように設計されています。インシデント対応者と脅威ハンターは、インシデントの迅速な修復という究極の目標を持って、高度な敵を特定し、追跡し、封じ込めるために、最新のツール、分析技術、および企業の方法論で武装していなければなりません。さらに、インシデントレスポンスと脅威ハンティングのアナリストは、企業内の何千ものシステムにまたがる可能性のある取り組みをスケールアップすることができなければなりません。1日目は、高度な脅威グループへのインシデントレスポンスに適用される6段階のインシデントレスポンス方法論を検討することから始めます。サイバー脅威インテリジェンスを開発して敵の「KillChain」に影響を与えることの重要性を解説し、フォレンジックの観点でのライブレスポンス技術と戦術が、単一システムにも企業全体にも適用できることを実証していきます。

攻撃を理解することは、攻撃を検知して軽減するためには非常に重要な事です。初日に攻撃者のテクニックの教育を開始し、一般的なマルウェアの特徴を学び、ネットワーク内での永続性を維持するために敵が使用するテクニックを深く掘り下げていきます。永続性は、攻撃サイクルの早い段階で完了し、ネットワークを監査して早期発見を達成するためのハンティング技術を学びます。特に、Living off land binaries（ほとんどの環境で利用可能なローカルツール）、PowerShell、および WMI ベースの攻撃は、高度な敵の標準的な攻撃手順となっており、このような大規模な攻撃を特定するためのツールやテクニックについて多くを学習します。最後に、マイクロソフトのクレデンシャルについて詳しく説明します。現代の企業におけるクレデンシャルの複雑さは誇張されるものではなく、クレデンシャルはあらゆるネットワークに存在する一番の脆弱性です。クレデンシャルを狙うために使用されているツールやテクニックを理解することで、これらの破壊的な攻撃を防止、検出、軽減する方法を学びます。

演習

• SIFT Workstationを使ったフォレンジックラボのセットアップとオリエンテーション
• 永続性 – マルウェアの永続性の検知と分析

• データ収集と分析を企業横断的に拡大する

• 悪意のあるWMIイベントコンシューマの発見と分析

トピック

実際のインシデント対応戦略

• 準備：侵入に対する適切な対応をするためにインシデント対応チームが必要とする主要なツール、技法、および手順
• 識別/スコーピング：インシデントを適切にスコーピングと企業内の侵入を受けたすべてのシステムの検出
• 封じ込め/インテリジェンス開発：脅威インテリジェンスを開発するための攻撃者のアクセスの制限、監視、および学習
• 根絶/修復：現在のインシデントを阻止するために必要な重要なステップの決定と実行
• 回復：類似の攻撃が再度発生した際に備えた脅威インテリジェンスの記録
• 「場当たり」的対応の回避：即時根絶を行うには適切なインシデントの範囲指定と封じ込めなしには実現しない

脅威ハンティング

• ハンティングと受動対応
• インテリジェンス主導のインシデント対応
• 継続的なインシデント対応/脅威の脅威ハンティングの構築
• エンドポイントにおけるフォレンジック分析と脅威ハンティング
• 脅威ハンティングチームの役割
• ATT&CK-MITREの対抗戦術、技術、共通知識 (ATT&CK(TM))

企業における脅威ハンティング

• 侵害されたシステムの特定
• 活動中、休止中のマルウェアの発見
• デジタル署名されたマルウェア
• マルウェアの特徴
• 一般的な隠蔽のメカニズム
• 正常を理解して悪を見つける

インシデント対応とエンドポイント間のハンティング

• WMICとPowerShell
• PowerShellのリモートからの実施可能性
• PowerShellのリモートからのCredential保護
• Kansa PowerShellのリモートからのIRフレームワーク

マルウェア防御の回避と識別

• サービスハイジャック/交換
• よくあるコンパイル
• バイナリパディング
• 梱包/外装
• 休止状態のマルウェア
• 有効な証明書を持つ署名コード
• アンチフォレンジック技術／タイムスタンプ
• Living Off The Land (LOTL)によるセキュリティツールの回避

マルウェアの持続性の識別

• AutoStartロケーション、RunKeys
• サービスの作成/リプレース
• サービス障害の復旧
• スケジュールされたタスク
• DLLハイジャック
• WMIイベントコンシューマ

機微情報の窃取の防止、検出、緩和

• Pass the Hash
• Mimikatzを使った機微情報の窃取
• トークンの盗用
• キャッシュされた機微情報
• LSAシークレット
• Kerberos認証に対する攻撃
• Golden Tickets
• Kerberoasting
• DCSync
• NTDS.DITの盗用
• Bloodhoundを使ったActive Directory環境の分析
• Metasploit、Acehash、Windows Credential Editorなどの一般的なダンプツール

侵入分析

最も高度な攻撃者も足跡をあらゆるところに残します。最高のハンターの秘密を学んでください。

サイバーディフェンダーには、ネットワーク内の敵の活動を特定、捜索、追跡するためのさまざまなツール類が用意されています。各攻撃者の行動は対応するアーティファクトとして証跡（フットプリント）が残されており、予測可能な攻撃パターンに対して調査を集中することが各チームメンバーに求められます。一例として、ある時点で、攻撃者はその目的を達成するためにコードを実行する必要があります。このアクティビティは、アプリケーション実行アーティファクトによって識別できます。攻撃者はコードを実行するために1つまたは複数のアカウントも必要となります。したがって、アカウント監査は悪意のある操作を識別する強力な手段となります。攻撃者はネットワーク全体に移動する手段も必要とするため、私たちはミッションのこの部分を達成するための比較的少数の方法によって残された証跡を探します。このセクションでは、一般的な攻撃者のスパイ活動の技術について説明し、エンタープライズ内の悪意のあるアクティビティを識別するために使用できる様々なデータソースとフォレンジックツールについて解説します。

演習

• プリフェッチ、Shimcache、Amcacheを用いた実行の証拠の発見と検出
• イベントログの抽出・分析から資格情報の乱用を発見する
• イベントログ分析により横方向への移動（内部移動）を追跡する
• WMIおよびPowerShellの不正使用を検出する

トピック

正当な資格情報の盗用と利用

• Pass the Hash
• シングルサインオン(SSO)Mimikatzを使用したダンプ
• トークンの盗用
• キャッシュされたクレデンシャル
• LSAシークレット
• Kerberos攻撃
• NTDS.DITの盗難

実行痕跡の高度な証拠

• プロセスの実行によって過剰に処理される攻撃手法、テクニック、および手順(TTP)
• プリフェッチ分析
• アプリケーション互換性キャッシュ（Shimcache）
• Aamcacheレジストリ検査
• ShimCacheとAmcacheの調査のスケーリング

横移動に対する戦術、テクニック、手順（TTP）

• クレデンシャル技術の侵害
• リモートデスクトップサービスの悪用
• Windows管理者による不正使用の共有
• PsExec と Cobalt Strike ビーコン　PsExecのアクティビティ
• Windowsリモート管理ツールのテクニック
• PowerShellリモート処理/ WMICハッキング
• Cobalt Strikeを利用したラテラル・ムーブメントと機微情報の利用
• 脆弱性の悪用

インシデントレスポンダおよびハンターのイベントログ分析

• プロファイリングアカウントの利用によるログオン
• 横方向の動きの追跡とハンティング
• 疑わしいサービスの特定
• 不正アプリケーションのインストール検出
• マルウェア実行とプロセス追跡の発見
• コマンドラインとスクリプトのキャプチャ
• アンチフォレンジックとイベントログの消去

WMIおよびPowerShellベースの攻撃の調査

• WMIの概要
• キルチェーンを介したWMI攻撃
• WMI リポジトリの監査
• WMI ファイルシステムとレジストリの残留物
• コマンドライン解析とWMIアクティビティのロギング
• PowerShellのトランスクリプトとScriptBlockのロギング
• Cobalt Strike beaconのPowerShellインポートアクティビティの発見
• Cobalt Strike、Metasploit、EmpireからのPowerShellインジェクションの検出
• PowerShellスクリプトの難読化

インシデントレスポンスと脅威のハンティングにおけるメモリフォレンジック

メモリ分析を使うのは時にズルをしているように感じます - アクティブな攻撃を見つけるのは簡単ではありません。

メモリフォレンジックは、わずか数年の間に長い道のりを歩んできました。現在では、多くの高度なtool suitesの重要なコンポーネントとなっており、インシデントレスポンスや脅威ハンティングを成功させるチームの中心となっています。メモリフォレンジックは、標的型攻撃者が使用したワーム、Rootkit、PowerShell、ランサムウェアの前兆および高度なマルウェアの証拠を見つけるのに非常に効果的です。実際、ファイルレス攻撃の中には、メモリ解析なしでは解明が不可能に近いものもあります。メモリ解析は従来、Windows内部に精通した専門家やリバースエンジニアの領域でしたが、新しいツール、技術、検出ヒューリスティックにより、今日ではすべての調査者、インシデントレスポンダー、および脅威ハンターが利用できるようになりました。さらに、メモリ内の攻撃パターンを理解することは、幅広いエンドポイント検知・レスポンス製品（EDR）に適用可能なコア・アナリストのスキルであり、これらのツールをさらに効果的なものとします。この非常に人気の高いセクションでは、活用可能な最も強力なメモリ解析機能の多くをカバーし、使用するツールセットにかかわらず、調査を超強化するための高度なメモリ・フォレンジック・スキルの確固たる基礎を提供します。

演習

• Velociraptorを使用したリモートエンドポイントインシデント対応、ハンティング、および分析

• F-Response Enterpriseを使用したリモートエンドポイントトリアージとメモリ検査

• KAPEによるローカルおよびリモートのトリアージイメージの作成

• エンタープライズ環境にある複数システムのメモリから、未知のカスタムマルウェア（活動中／休止中）を検出する
• 通常か変異かを識別するためWindowsプロセスツリーを調査する
• マルウェアが攻撃者とコマンド＆コントロール（C2）チャネルの通信をするために利用する、一般ポートのAPTビーコンを探す
• メモリ上の文字列検索やバッファ履歴から残っているコマンドラインを探す
• Frequency of Least Occurrence スタッキング技術を用いて、侵害されたシステムのメモリをベースラインシステムと比較する
• コードインジェクションとルートキットを含む高度なマルウェア隠蔽手法を特定する
• 分析を自動化するための侵害インジケータの採用
• マルウェア感染したシステムのメモリイメージを分析する
  • Stuxnet
  • TDL3/ TDSS
  • Cozyduke RAT
  • Rundll32とLiving Off The Land (LOTL)の実行
  • Zeus/Zbot/Zloader
  • Emotet
  • SolarMarker
  • Black Energy Rootkit
  • WMI and PowerShell
  • Cobalt Strike Beacons と Powerpick
  • Cobalt Strike の犠牲的プロセス
  • Metasploit
  • Custom APT command and control malware

トピック

リモートおよびエンタープライズ・インシデント・レスポンス

• エンタープライズでのリモートエンドポイントアクセス
• RemoteEndpointホストベースの解析
• スケーラブルなホストベースの解析(1,000のシステムを調査するアナリスト)およびデータスタッキング
• リモートメモリ解析
• Velociraptor、F-Response、KAPE

トリアージ、エンドポイントディテクションおよびレスポンス（EDR）

• エンドポイントトリアージコレクション
• EDRの機能と課題
• EDRとメモリフォレンジック

メモリ獲得

• システムメモリの取得
• ハイバネーションとページファイルメモリの抽出と変換
• 仮想マシンのメモリ獲得
• Windows 10および11におけるメモリの変更点

レスポンスとハンティングのためのメモリフォレンジック分析プロセス

• 共通のWindowsサービスとプロセスの理解
• 不正なプロセスの特定
• プロセスDLLとハンドルの解析
• ネットワークアーティファクトの確認
• コードインジェクションの証拠探し
• ルートキットの兆候確認
• 疑わしいプロセスとドライバの入手

メモリフォレンジックスの検査

• ライブメモリフォレンジック
• ボラティリティを備えた高度なメモリ解析
• プロセスツリー解析によるWebshellの検出
• メモリ内でのコードインジェクション、マルウェア、およびルートキットのハンティング
• MecProcFSを利用した高度なメモリフォレンジック
• WMIおよびPowerShellプロセス

• メモリに常駐する攻撃者のコマンドラインの抽出

• Windowsサービスの調査
• 比較ベースラインシステムを使用したマルウェアのハンティング
• RAMからキャッシュファイルを検索してダンプ

メモリ解析ツール

• Volatility
• F-Response
• Velociraptor
• MemProcFS

受講生は、F-Response Enterprise Editionの6ヶ月間のフルライセンスを受けることができ、ワークステーションまたはSIFTワークステーションを使用して、企業内の何百、何千ものシステムに接続し、アクションをスクリプト化することができます。この機能は、新しいインシデントレスポンスと脅威検知技術をベンチマーク・促進し、実証するために使われます。これにより、レスポンダは、メモリとディスク上の企業ネットワーク全体で侵害の指標を探すことができます。

タイムライン解析

タイムライン解析は、デジタルフォレンジック脅威のハンティング及びインシデントなどへの対応方法に変革をもたらします。

タイムライン解析を知れば、今までのデジタルフォレンジックとインシデントレスポンスのやり方が劇的に変わるでしょう。スパイ活動に対するタイムライン解析の先駆者から直接学ぶことで、その高度な解析技術を知ることができます。

一時データは、コンピュータシステムのありとあらゆる所に存在しています。ファイルシステムの更新・アクセス・作成・変更時刻、ログファイル、ネットワークデータ、レジストリデータ、ブラウザの履歴ファイルなど、すべての時間データは関連付けられ、分析することで事件を迅速に解決することができます。2001年にRob Leeがこの分析手法を開拓して以来、タイムライン解析は複雑な事件を解決する強力な調査手法として使用されてきました。新しいタイムライン解析のフレームワークでは、いくつもの時間ベースの解析を同時に処理することができます。これにより解析に費やす時間が1日から数分に短縮することができ、強力な調査手法としての立場を不動のものとしています。

このセクションでは、複雑なインシデントとフォレンジック事例においてタイムラインを作り、それぞれ解析する2つの手法について順に見ていきます。演習では、タイムラインの作成方法だけではなく、受講者が実際に経験した事例などを題材として、より効果的な分析につなげるための方法を紹介します。

演習

• マルウェアの防御回避技術の検知
• タイムライン分析を用いて、APTグループのマルウェア、ラテラル・ムーブメント、永続性の痕跡を追跡し、攻撃者の活動を追跡する
• 高度な技術を持つ攻撃者ががネットワーク内での移動やプレゼンスの維持に使用する、隠された、あるいは"time-stomped”マルウェアやユーティリティを標的とする
• 綿密なスーパータイムライン分析により、攻撃者の行動を秒単位で追跡する
• ファイルシステムタイム、レジストリ、イベントログ、shimcache、その他の時間ベースのアーティファクトに残された痕跡を見ることで、攻撃者が企業内の他のシステムにどのようにラテラル・ムーブメントを行うかを観察する
• 侵入の根本原因を特定する

• システムアーティファクト、ファイルシステム、レジストリのタイムラインをフィルタリングする方法を学び、最も重要なデータソースを効率的に識別する方法をご紹介します。

トピック

マルウェアの防御回避と検知

• 妥協点の指標 - YARA
• エントロピーとパッキング解析

• 実行可能な異常の検出

• デジタル署名解析

タイムライン解析の概要

• タイムライン解析による利点
• 前提知識
• Pivot Pointの検出
• タイムラインコンテキストのヒント
• タイムライン解析のプロセス

ファイルシステムタイムラインの作成と分析

• MACBタイムスタンプ
• Windowsタイムルール（ファイルコピーとファイル移動）
• Sleuthkit, fls, MFTECmd を使用したファイルシステムのタイムライン作成
• mactimeツールを使用したボディファイルの分析とフィルタリング

スーパータイムラインの作成と分析

• スーパータイムラインアーティファクトルール
• プログラムの実行、ファイルの知識、ファイルの開き方、ファイルの削除
• log2timeline / Plasoによるタイムラインの作成
• log2timeline/ Plaso コンポーネント
• psortを使用したスーパータイムラインのフィルタリング
• ターゲットスーパータイムラインの作成
• スーパータイムライン解析
• Elastic Search（ELK）によるスーパータイムライン解析の拡張

インシデントレスポンスとエンタープライズハンティング｜高度な攻撃とフォレンジック検知

優秀な敵に対して、私達は彼らを上回る能力を身に付けなければなりません。

フォレンジック対策のステップの中には、比較的簡単に検知できるものもあれば、対応するのが難しいものもあります。そのため、フォレンジックの専門家やインシデントレスポンダは、重要な残存証拠として明らかにすることができるオペレーティング・システムとファイル・システムの様々な側面について知識を持っていることが重要です。サイバー犯罪組織はアンチフォレンジック技術を積極的に利用するようになっています。このセクションでは、主にファイルシステムに焦点を当てて、調査に関係するファイル、ファイルの断片、およびファイルのメタデータを復元します。これらの痕跡は、削除されたログ、攻撃者のツール、マルウェアの構成情報、流出したデータなどを分析者が発見するのに役立ちます。これにより、攻撃者のTTPをより深く理解することができ、侵入を徹底的に調べ上げるためのより多くの脅威インテリジェンスが得られることがよくあります。場合によっては、これらのディープダイブのための技術が、攻撃者が対象のシステム上で活動していたことを証明する唯一の手段になることもあります。これらの技術は、不正侵入を調査するケースにに非常に関連性が深いですが、ほぼすべてのフォレンジック調査に活用できます。

演習

• ボリュームシャドウのスナップショット分析
• ボリュームシャドウのスナップショットにまたがるタイムライン
• NTFS ファイルシステムの様々なコンポーネントを使用したアンチフォレンジック分析
• 不審なファイルをチェックするTimestomp
• レコードカービングと削除されたボリュームシャドウコピーのリカバリと高度なデータリカバリ

トピック

ボリュームシャドウコピー分析

• ボリュームシャドウコピーサービス
• ボリュームスナップショットの履歴データにアクセスするためのオプション
• vshadowmount でのシャドウコピーへのアクセス
• ボリュームシャドウコピーのタイムライン

先進的なNTFSファイルシステムの戦略

• NTFSファイルシステム分析
• マスターファイルテーブル（MFT）の重要領域
• NTFSシステムファイル
• NTFSメタデータ属性
• $ StdInfoおよび$ Filenameに対するWindowsタイムスタンプの規則
• タイムスタンプ解析による検出
• 常駐ファイルと非常駐ファイル
• 代替データストリーム
• NTFSディレクトリ属性
• B-Treeインデックスの概要とバランス
• ディレクトリ一覧と$ I30ファイルを使用した、ワイプ/削除されたファイルの検索
• ファイルシステムフライトレコーダ:トランザクションロギングと$ Logfileおよび$ UsnJrnl
• ジャーナル内の共通の活動パターン
• ジャーナル内の便利なフィルタと検索
• NTFSファイルシステムからデータが削除された時の挙動

高度な証跡回復

• 一般的なWiperとPrivacy Cleanerのマーカー
• 削除されたレジストリキー
• レジストリ内の「ファイルレス」マルウェアの検出
• ファイルカービング
• ボリュームシャドウカービング
• NTFSとイベントログレコードのカービング
• 効果的な文字列検索
• アンチフォレンジックに対抗するためのNTFSコンフィグの変更

APT Threat Group インシデントレスポンスチャレンジ