NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Reverse-Engineering Malware:Malware Analysis Tools and Techniques
Digital Forensics and Incident Response
English2022年6月27日(月)~7月2日(土)
1日目:9:00-17:30
2日目~6日目:9:30-17:30
オンライン
880,000円(税込み:968,000円)
※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。
※コース本体のお申し込み後から講義開始までの間に、GIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)をいただきます。
※講義開始後のGIAC試験のお申込みは、こちらのページ(英語)をご参照のうえ、GIACへ直接お申し込みください。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
重要:以下の環境のノートPCをご持参下さい。
コース開始前の事前準備として、5つのことをお願いしています。早めの準備をすることで、トレーニングを最大限に活用することができます。まず、適切に設定されたノートPCの持参をお願いいたします。この資料では、クラスに必要なシステムのハードウェアとソフトウェアの設定について詳しく説明しています。また、準備に関してのビデオをhttps://sansurl.com/sans-setup-videosから閲覧することができます。
講義の全てのコンテンツに参加するためには、適切に設定されたノートPCが必要です。この指示に従わないと、このコースの演習に参加することができず、満足のいく授業を受けることができない可能性が高いです。そのため、以下の条件をすべて満たすシステムを用意することを強くお勧めします。
SANSトレーニングを有意義に受講していただくには、以下の要件を満たすノートPCが必須です。下記要件を確認し、事前に必要な設定を完了しておいてください。セッション中には、下記の設定を実施する時間は設けられていません。必ず事前の確認・設定をお願いいたします。
注意:実習のためのツール類をインストールすることによって、一部のシステムの動作に支障をきたす可能性があります。また、ネットワークへの接続を伴う実習内容があり、故意過失を問わず、自分のノートコンピュータのデータに他の受講生からアクセスされる可能性もあります。いずれの場合もSANSではデータの破損や読み書きに関して責任をとることはできませんので、重要なデータが格納されているノートPCでの実習はお控えください。
重要:VMwareによって仮想的に分離しているとはいえ、悪意あるコードを扱うので、業務で使用しているPCは持ち込まないでください。
64ビットのゲスト仮想マシンがラップトップ上で動作するように、CPUとオペレーティングシステムが64ビットをサポートしていることが重要です。VMware は、お使いのホストが 64 ビットのゲスト仮想マシンをサポートしているかどうかを検出する Windows 用の無償ツールを提供しています。こちらのリンクではWindowsユーザがCPUやOSの性能についてより詳しく判断するための良い手順を提供しています。Macの場合は、Appleのサポートページを確認してください。
ホストOS:Windows 10 Pro、Linux、またはmacOS 10.14以降で、以下のVMware仮想化製品をインストールおよび実行できるシステムである必要があります。
Linuxホストを使用する場合は、適切なカーネルまたはFUSEモジュールを使用してexFATパーティションにアクセスできることも必要です。
製品名に「Pro」が付いているバージョンを入手する必要があります。これらの製品のPro版でない無償版(例:VMware Workstation Player)は、本講座で必要となるスナップショット機能をサポートしていないため、十分ではありません。
VirtualBoxやHyper-Vなどの他の仮想化ソフトウェアは、互換性や授業中に遭遇する可能性のあるトラブルシューティングの問題があるため、適切ではありません。
コースのメディアがダウンロード版で配信されるようになりました。授業で使用するメディアファイルは大容量で、40~50GBのものもあります。ダウンロードに必要な時間は様々な要因に左右されるため、所要時間を見積もることはできませんが、非常に時間がかかってしまう場合もあります。メールよりダウンロードリンクを取得したら、コースメディアのダウンロードを開始してください。コースメディアは授業初日すぐに必要になります。開始前夜などにダウンロードを開始すると、失敗する可能性が高くなりますので、時間に余裕をもってご準備ください。
SANSでは、PDF形式のテキストの提供を開始しました。さらに、一部のクラスではPDFに加えて電子ブックを使用しています。電子ブックを使用するクラスは今後増えていく予定です。セカンドモニターやタブレット端末を使って、授業の資料を見られるようにしておくと便利です。
ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください。(英文)
マルウェアの機能を理解することは、組織の能力として重要なことであり、スレットインテリンジェンスへの派生、インシデント対応、防衛能力の強化に活用できます。本コースを通じて学習することで、マルウェアのリバースエンジニアリングに関する強固な土台となるスキルを身につけることができます。具体的には、さまざまなシステム監視ユーティリティやネットワーク監視ユーティリティ、ディスアセンブラー、デバッガー、その他マルウェアの内部/外部を調査する上で有用なツール群を使うスキルを獲得していきます。
自動分析ツールを使って劇的に発見しやすくするような手法で、マルウエアを解析するための基礎を身につけるところから始まります。悪意のあるソフトウエアの内部検査を行うフレキシブルなラボを設定する方法や、実世界にあるマルウエアのサンプルの特徴を発見するラボの使い方を学びます。悪意のあるプログラムを動かすことで検体の機能を発見するため、ラボの中でネットワークトラフィックをリダイレクトしたり遮断する方法を学習します。リバースエンジニアリングと関連する本質的なアセンブリ言語のコンセプトを学びます。重要な構成要素と実行フローを理解するために、ディスアセンブラやデバッガーの助けを借りて悪意のあるコードを検査することを学習します。加えて、悪意のあるプログラムにある怪しいWindows APIパターンに注目することによりマルウェアに共通の特徴を見つけ出す方法について学習します。
次に、攻撃の性質を理解するために、怪しいウエブサイトのアセスメント方法や悪意のあるJavvaScriptの難読化の解除方法を掘り下げながら、ウェブシステムに由来するマルウエアの世界に入ります。
Microsoft Office、RTF、PDFファイルといった種類の悪意あるドキュメントを分析する方法も取り上げます。このようなドキュメントは、標的型攻撃もしくは大規模感染を引き起こすものとして、共通の感染ベクターとして活動します。ファイルレスマルウエアや悪意のあるPowerShellスクリプトの検査方法を学習します。
マルウエアは解析の邪魔をするためにしばしば難読化されています。そのためコースでは実行ファイルを分解するスキルを身に付けるためのサポートをします。デバッガーや追加の専門ツールを使ってメモリからそのようなプログラムをダンプする方法や作成者による保護をはずしてファイル構造をリビルドする方法を学習します。これらの特徴を検査するためにコード分析やメモリフォレンジクス手法を利用して、システム上の存在を隠すルートキット機能を持っているマルウエアを検査する方法を学習します。
また、FOR610マルウェア解析トレーニングでは、解析から自身を守ろうとする悪意のあるソフトウェアの扱い方についても学びます。ファイルレス技術、サンドボックス回避、フローミスディレクション、デバッガ検知、その他の解析対策など、一般的な自己防衛策を認識し、回避する方法について学びます。
コース最終日は、CTFに挑戦していただきます。一連学んできたことの復習になり、実践的かつハンズオンでマルウェア解析を楽しみながら学べるよい機会となることでしょう。
本コースでは、管理下にあるラボでマルウェアを調査して、マルウェア解析手法を実践してみるハンズオン演習を重視しています。演習を行うことで、典型的なパターンを理解し、コードを分析する際に重要な部分を理解できるでしょう。そして演習をスムーズに行えるようにするために、あらかじめマルウェア解析用のツールを構成してあるWindowsとLinuxの仮想マシンを用意してあります。
「熟練マルウェアアナリストが、感染したシステムに侵入した悪意あるファイルから情報をどれほど得られるのか驚くほどです」マルウェアをリバースエンジニアリングする方法を学ぶことで、侵入された深刻さ、攻撃の目的や経過、封じ込めの手順、および組織がインシデントを対応するのに役立つ多くの状況が得られます。 FOR610コースは、さまざまな使えるテクニックを駆使して悪意あるソフトウェアの調査方法を学ぶ、そして得られた専門知識からマルウェア分析を習得するための専門家への入り口なのです。
- Lenny Zeltser
「攻撃者と効果的に立ち向かうためには、相手が使用しているツールへの理解が必要です。」このコースでは、コードを機能的にリバースエンジニアリングすることで、機能、依存性、およびその制限を理解するために必要なスキルを学びます。目的を達成するために攻撃者は、独創的で堅牢なマルウェアを生み出そうと、日々努力を積み重ねています。組織が将来の攻撃を軽減するためにコードを解読してそれを学んでいくためには、同様に熟練したマルウェア分析機能を備える必要があるのです。
- Anuj Soni
このセクションでは、マルウェア解析を理解するうえで必要な基礎知識を身につけます。悪意あるプログラムを調査するための主要なツールとテクニックを解説します。フェーズごとにWindowsマルウェアを調べることで解析時間を短縮する方法を学びます。静的プロパティ分析では、メタデータおよびその他のファイル属性を調べてトリアージを行い、次の対応を決定します。行動分析では、レジストリ、ファイルシステム、ネットワークなどの環境とのプログラムの相互作用に焦点を当てます。コード解析では、検体の内部動作に焦点を当て、x64bgなどのデバッグツールを使用します。提供されているWindowsおよびLinux(REMnux)仮想マシンに慣れ親しむように、設定された方法でこのような分析を行う方法を学びます。ラボではサンプルマルウェアの調査を行い、主要な解析ツールの実行方法を理解していきます。インストラクターのガイダンスとラボ後の解説によって、マルウェア解析の概念をしっかり理解できることでしょう。
このセクションで紹介するツールには、PeStudio、Process Hacker、Process Monitor、x64dbg、API Monitorなどがあります。
このセクションでは、Windowsの悪意ある実行ファイルをアセンブリレベルで調査することを中心に説明していきます。検体の内部の仕組みをディスアセンブラを通して解明していく方法を紹介します。また、デバッガーも解析の助けとなるでしょう。このセクションではハンズオン演習でGhidraを使います。このセクションではまず始めに、コードのリバーシング概念について概要を説明します。x86 Intelアセンブリの概念について、解析に不可欠な入門知識を解説します。たとえばインストラクション、ファンクションコール、変数とジャンプといった概念です。また、関数、ループ、条件文といったもので構成される共通のアセンブリを調査する方法も学んでいきます。教材を使って基礎を固めてから、ポピュラーになった64ビットマルウエアを使って理解を深めます。ディスカッションを通じて、HTTPを使用したコマンド・コントロール、キーロギング、命令実行といった共通の特徴を理解します。
このセクションでは、静的コード解析を実行するためのGhidraの主要な機能をに説明しながら、上記の概念について説明します。
このセクションでは、悪意あるWebページや文書を調べることに焦点を当てています。悪意あるWebページや文書は、感染したシステム上で悪意ある行為を直接実行したり、悪意ある実行可能ファイルのインストールにつながる攻撃を行うために使われます。まずクライアント側の攻撃を助長する可能性のある疑わしいWebサイトを調べる方法について解説します。次に、スクリプトデバッガとインタプリタを使用して悪意あるスクリプトを難読化する方法、Microsoft Officeマクロを調べる方法、PDFやRTFファイルに関連する脅威をいくつかの手法を使って評価する方法などを解説します。
このセクションで紹介するツールには、Fiddler、SpiderMonkey、pdf-parser.py、scdbgなどがあります。
このセクションでは、1日目に紹介した振る舞い分析とコード解析のアプローチを軸に掘り下げていき、悪意あるプログラムに追加される機能を解明していくテクニックを学んでいきます。具体的には、パッカーとよばれるテクニックについて学んでいき、そしてその防御を回避する方法を理解していきます。また、レジストリ、難読化されたJavaScriptとPowerShellスクリプト、シェルコードの使用など、本来の特性を隠すために複数のテクノロジを使ったマルウェアの分析も行います。最後に、ユーザモードルートキットとしてコードインジェクションやAPIフックなどを実装されたマルウェアについて、コードとメモリフォレンジックの両方の観点からこれらの機能を調べる方法を学びます。
このセクションで紹介するツールには、CFF Explorer、Scylla、OllyDumpEx、Volatilityなどがあります。
このセクションでは、マルウェアの作成者が悪意あるソフトウェアを解析されるのを阻止するために使っている手法を詳しく解説します。時間稼ぎまたは、誤分析するよう仕組まれた対分析手法を識別し、回避する方法について解説します。このプロセスでは、マルウェアの静的および動的分析を行って、アンパックしたり、他のプロセスにインジェクトしたりできることを学びます。マルウェアの作成者が悪意ある実行可能ファイルに埋め込んだデータを保護する方法についても理解を深めることができます。コースを通してカバーされているトピック同様に、実践演習中にこのようなテクニックを試すことができます。
このセクションでは、Ghidraやx64dbgなど、以前に取り上げたツールの多くが登場します。また、FLOSSやScyllaHideなども紹介します。
最終日である6日目は、受講生はインシデントレスポンスやフォレンジックチームのマルウェアアナリストとして作業をしてもらいます。受講生は、トーナメントを楽しみながら実世界のマルウェア解析に関するさまざまなチャレンジ問題に挑んでいただきます。このようなチャレンジによって、受講生はインストラクターが用意したラボ環境により典型的なマルウェア解析を行えるようになるだけでなく、さらなる能力向上のよいきっかけとなるでしょう。また、チャレンジは5日間学んできたスキルを包括する内容になっています。SANS NetWarsプラットフォーム上で作業をしてもらいます。このコースで学んできたテクニックを使ってみることによって、知識とスキルを確かなものにすることが出来て、さらに追加演習をしたいと思えるようになるでしょう。
トーナメントを制したチームには、チャレンジコインが授与されます。