ニュースレター登録
資料ダウンロード
お問い合わせ

SECURITY 565

Red Team Operations and Adversary Emulation
※本コースは中止となりました。次回開催をお待ちください。

Red Team

English
日程

2023年6月19日(月)~6月24日(土)

期間
6日間
講義時間

1日目: 9:00-17:30
2日目~6日目: 9:30-17:30

受講スタイル
Live Online
会場

オンライン

GIAC認定資格
-
講師
まもなく決定
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
36 point
受講料

【早期割引価格】1,080,000 円(税込み 1,188,000円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

通常価格 1,200,000円(税込み 1,320,000円)

申込締切日
早期割引価格:2023年5月19日(金)
通常価格:2023年6月9日(金)
オプション
  • NetWars Continuous  235,000円(税込み 258,500円)

※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

SEC565 PC設定詳細

重要 : この説明書に従って設定されたご自身のシステムをお持ちください。 

このコースに完全に参加するためには、適切に設定されたシステムが必要です。この説明書をよく読み、それに従わない場合、このコースに不可欠な実習に参加することができず、満足のいく授業が受けられない可能性があります。このため、本コースに必要なすべての要件を満たしたシステムで受講されることを強くお勧めします。

授業前にシステムをバックアップしておくことが重要です。また、機密データを保存しているシステムを持ち込まないよう、強くお勧めします。

CPU

64ビット Intel i5/i7 2.0+ GHz プロセッサー

注意:M1プロセッサを搭載したApple社のシステムは、必要な仮想化機能を実行できないため、このコースには一切使用できません。 

システムのプロセッサは、64ビット Intel i5 または i7 2.0 GHz プロセッサまたはそれ以上である必要があります。Windows 10で確認するには、Windowsキー+Iを押して「設定」を開き、「システム」、「バージョン情報」の順にクリックします。プロセッサーの情報は、ページの下部付近に表示されます。Macで確認するには、ディスプレイの左上にあるAppleロゴをクリックし、「このMacについて」をクリックします。

BIOS

  • Intel-VTの有効化
  • Intel VT (VT-x) ハードウェア仮想化技術は、システムの BIOS または UEFI 設定で有効にする必要があります。ラボの演習を完了するためには、システムのBIOSにアクセスしてこの設定を有効にする必要があります。BIOS がパスワードで保護されている場合は、そのパスワードが必要です。これは必ず必要です。

RAM

  • 最高の体験のために、16GB RAMを強く推奨します。Windows 10で確認するには、Windowsキー+Iを押して「設定」を開き、「システム」、「バージョン情報」の順にクリックします。RAMの情報は、ページの一番下に表示されます。Macで確認するには、ディスプレイの左上にあるAppleのロゴをクリックし、「このMacについて」をクリックします。

ハードディスクの空き容量

  • ハードディスクに100GBの空き容量があることは、配布する仮想マシンと追加ファイルをホストするために重要です。また、SSDドライブは、機械式ハードディスクよりも仮想マシンを高速に動作させることができるため、非常に推奨されています。

オペレーティングシステム

  • Windows 10macOS 10.15.x以降、Linuxの最新版のいずれかが動作し、後述のVMware仮想化製品もインストール、実行できるシステムであること。

追加ソフトウェア要件

VMware Playerのインストール

  • VMware Workstation Player 16VMware Fusion 12、またはVMware Workstation 16
  • VMware Player 16VMware Fusion 12、または VMware Workstation 16 をインストールしてください。それ以前のバージョンはこのコースでは使用できません。お使いのホストOSと互換性のあるバージョンをお選びください。VMware WorkstationまたはFusionのライセンスをお持ちでない方は、VMware社から30日間の無料体験版をダウンロードすることができます。VMwareWebサイトでトライアルに登録すると、期間限定のシリアルナンバーが送られてきます。VMware Workstation Playerは、商用ライセンスが不要な無料ダウンロード製品ですが、Workstationよりも機能が少なくなっています。これは重要なことです: Hyper-VVirtualBoxなど、他の仮想化製品はサポートされておらず、コース教材で使用することはできません。

ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)

SEC565 コース概要

ペネトレーションテストは、脆弱性の列挙には効果的ですが、防御側の人材やプロセスへの対応にはあまり効果がありません。このため、ブルーチームや防御側は、どのような攻撃的インプットを改善すべきかについて十分な知識がなく、その結果、組織は、攻撃を効果的に検知し対応するための防御側の成熟よりも、システムの脆弱性にのみ焦点を当てるという循環的なプロセスに陥ってしまうことがあります。

SEC565では、攻撃者のエミュレーションで、エンドツーエンドのレッドチーム活動を計画・実行する方法を学びます。レッドチームを組織するスキル、敵の戦術・技術・手順(TTP)に対してマッピングする脅威情報の消費、TTPのエミュレーション、レッドチーム活動の結果の報告・分析、最終的には組織のセキュリティ態勢全体の改善などを含みます。コースの一環として、受講生は、Active Directory、インテリジェンスの高い電子メール、ファイルサーバ、WindowsLinuxで動作するエンドポイントなど、企業環境をモデルにしたターゲット組織に対して攻撃者のエミュレーションを実行します。

SEC565は、6つの集中コースセクションを備えています。まず、ターゲット組織を攻撃する意図、機会、能力を持つ敵対者を特定し、文書化するために、サイバー脅威インテリジェンスを消費することから始めます。この強力な脅威情報と適切な計画により、学生は統一キルチェーンとMITRE® ATT&CK™(Adversarial Tactics, Techniques, and Common Knowledge)にマッピングされた複数のTTPを実行中に実行します。3つのコースセクションで、学生は弾力性のある高度な攻撃インフラの構築からActive Directoryの悪用まで、レッドチームの深い技術的な技巧に没頭することになる。初期アクセス後、各システムを徹底的に分析し、技術データとターゲット情報を収集し、権限の昇格、永続性の確立、重大な影響を与える機密データの収集と流出を行います。コースの最後には、Blue Teamの対応、報告、修復計画、再試験を分析する演習があります。

SEC565では、レッドチームと敵のエミュレーションが組織にもたらす価値を示す方法について学びます。レッドチームの主な仕事は、ブルーチームをより良くすることです。オフェンスはディフェンスに、ディフェンスはオフェンスに情報を提供します。SEC565は、一貫した反復可能な活動を計画・実行できるレッドチーム・オペレーターを育成します。この活動は、訓練と、環境防衛に使用する人材、プロセス、テクノロジーの有効性を測定することに重点を置いています。

以下のことができるようになります

  • 脅威情報を収集し、レッドチームの活動を計画
  • 運用の安全性を考慮し、運用を成功させるために必要なインフラを構築
  • 組織への潜入を可能にするための武装化
  • 自動化ツールを使って、重要なデータを列挙し、抽出(必要であれば手動で)
  • 企業ネットワーク内で横方向に移動し持続させる
  • 様々な攻撃ベクトルや設定ミスを利用して特権を昇格させる
  • 調査結果を有意義に報告し、クライアントに最大の価値をもたらす

以下を学ぶことができます

  • 脅威インテリジェンスを使用して、攻撃者の行動を研究する
  • 敵対者エミュレーションプランの構築
  • ブルーチームとのコミュニケーションに役立つMITRE® ATT&CK™に行動をマッピング
  • レジリエントで先進的なC2インフラを構築
  • エンゲージメントを通じて、オペレーションの安全性を維持
  • 最初のアクセス権を利用して、ネットワークを通じて昇格・伝播
  • Active Directoryを列挙して攻撃
  • 安全な方法で機密データを収集・流出
  • エンゲージメントを終了し、価値を提供し、再試験を計画

コース開発者より

組織は、セキュリティ・テスト・プログラムを成熟させ、レッド・チームの活動や敵の模倣を含めるようになってきています。これらの取り組みでは、現実的な敵対者を模倣することで、組織のセキュリティ態勢を全体的に把握し、セキュリティの仮定をテストし、人、プロセス、技術の有効性を測定し、検出と防止のコントロールを改善します。このコースでは、レッドチーム活動の計画、脅威情報の活用による敵の戦術、技術、手順に対するマッピング、レッドチームプログラムと計画の構築、運用セキュリティと技術に重点を置いたレッドチーム活動の実行、結果の報告と分析の方法を学びます。このコースの教訓を直接適用することで、レッドチームのオペレータは、組織の全体的なセキュリティ態勢を改善するために必要なスキルを得ることができます。
Barrett Darnell

 

このコースでは、クライアント環境に対する現実的なレッドチーム作戦を設定するための青写真を学生に提供します。受講生は、脅威情報の収集、攻撃計画の策定、実行、そして最終的に組織にとって最大の価値をもたらす報告書の作成ができるようになります。このコースは、幅広い知識を結集し、最新かつ最高のTTPを駆使して、最先端の技術を身につけることを目的としています。レッドチームに関するあらゆる知識をこれほどまでに集約したコースは他にありません。
Jean-Françis Maes

受講対象者

  • レッドチーム活動が他のセキュリティテストとどのように異なるかを理解し、レッドチーム活動に関する知識を深めたいと考えているセキュリティ専門家
  • ペネトレーションテスターやレッドチームのメンバーで、自分の技術についてより深く理解したい方
  • 攻撃的な方法論、ツール、戦術、技術、手順をよりよく理解することで、レッドチームのエンゲージメントが防御能力を向上させる方法を理解したいブルーチームメンバー、防御者、フォレンジック専門家
  • より高度なテクニカルスキルを身につけたい、あるいは規制上の要件を満たす必要がある監査役
  • 価値の高いレッドチーム活動を取り入れる必要がある、または参加する必要がある情報セキュリティ管理者

NICEフレームワークの仕事の役割

  • 逆境エミュレーションスペシャリスト / レッドティーマー (OPM 541)
  • ターゲットデベロッパー(OPM131
  • サイバーオプスプランナー (OPM 332)
  • パートナーインテグレーションプランナー(OPM333)
前提条件

このコースのコンセプトと演習は、攻撃型セキュリティの基礎に基づいています。一般的な侵入テストの概念とツールを理解していることが推奨され、セキュリティの基礎の背景は、レッドチームの概念を構築するための強固な基礎となります。このコースで学ぶRed Teamのコンセプトの多くは、セキュリティコミュニティの誰にでも適しています。技術者だけでなく管理職も、Red Teamの演習と敵のエミュレーションをより深く理解することができます。

講義内容

  • Day1
  • Day2
  • Day3
  • Day4
  • Day5
  • Day6

SEC565.1: Planning Adversary Emulation and Threat Intelligence

概要

コースの最初のセクションでは、敵対者の戦術と技術を議論するための共通言語を提示します。レッドチームの目的について説明し、このトピックに関するさまざまなフレームワークや方法論にスポットを当てます。敵対者のエミュレーションを成功させる前の重要な2つのステップは、脅威情報の実施と交戦の計画です。このセクションの最後には、レッドチームとの交戦中の最初の数回の行動について見ていきます。

演習

  • 環境志向
  • MITRE® ATT&CK™のディープダイブ
  • スレットインテリジェンスを消費する
  • レッドチーム企画

トピックス

  • 敵対的エミュレーション
  • 倫理的ハッキング成熟度モデル
  • フレームワークとメソドロジー
  • 敵対者の理解
  • ユニファイドキルチェーン
  • MITRE® ATT&CK™
  • スレットインテリジェンス
  • 脅威レポート ATT&CK™ マッピング(TRAM)
  • ATT&CK™ Navigator
  • エンド・ツー・エンドのテストモデル
  • 想定されるブリーチ
  • 実行フェーズ
  • レッドチームの構築 - スキルアップ
  • リコーネッサンス
  • オープンソースインテリジェンス(OSINT
  • パスワード攻撃
  • ソーシャルエンジニアリング
  • MFAに対する攻撃 - evilnginx2

SEC565.2: Attack Infrastructure and Operational Security

概要

コースの第2章では、レッドチームの各種ツールやコマンド&コントロールフレームワークを紹介しますが、これらはいずれも整備された攻撃インフラに依存しています。このセクションでは、回復力のある攻撃インフラの重要な側面と、レッドチームがリダイレクターを利用して防御側と少し距離を置く方法について説明する予定です。また、攻撃インフラを保護するためのもう一つの重要な側面として、監視と運用のセキュリティの実装についても説明する予定です。

演習

  • C2フレームワークのセットアップ
  • リダイレクターの設定
  • VECTR
  • コヴェナント
  • PowerShell帝国

トピックス

  • レッドチームツール
  • コマンド&コントロール(C2
  • C2比較
  • 聞き手とコミュニケーション・チャンネル
  • 先進のインフラ
  • リダイレクター
  • サードパーティホスティング
  • セルフホスティングとサードパーティの比較
  • オペレーショナルセキュリティ
  • IoCを理解
  • VECTRの紹介
  • コヴェナント

SEC565.3: Getting In and Staying In

概要

コースの第3章では、武器化によって悪意のあるペイロードを準備します。ターゲットネットワークへの最初のアクセスを達成するために、様々な配信方法について説明します。最初のホストとその周辺のネットワークを調査した後、発見、特権の昇格、資格へのアクセス、そして持続のサイクルで、ネットワーク内をこっそりと伝播していきます。

演習

  • ペイロードの作成とテスト
  • テストバイパス
  • 初期アクセス
  • ディスカバリーと特権のエスカレーション
  • 永続性

トピックス

  • 武装化
  • カスタム実行ファイル
  • ブレンド・イン
  • 実行のガードレール
  • 初期アクセス
  • ネットワーク伝搬
  • ディスカバリー
  • オペレーショナルセキュリティ
  • ディセプション・テクノロジー
  • ローカルネットワーク列挙
  • ローカル特権のエスカレーション
  • パスワードクラッキング
  • 永続性

SEC565.4: Active Directory Attacks and Lateral Movement

概要

4回目は、Microsoft Active DirectoryAD)を深く掘り下げ、攻撃や列挙に使われる戦術、技術、手順を学び、実践します。様々なツールを使って、ドメインやフォレストトラストを含む企業ネットワークを列挙、エスカレート、ピボットし、それらの間をどのように移動できるかを確認することができます。

演習

  • ドメイン列挙
  • プリビレッジ・ハンティングとトークン・インパーソネーション
  • ADアタックツール
  • ブラッドハウンド
  • ADラテラルムーブメント
  • フォレスト・ラテラル・ムーブメント

トピックス

  • Active Directoryの紹介
  • 木と森
  • 認証、認可、アクセストークン
  • AD 列挙
  • DNSの抽出
  • ドメイン特権のエスカレーション
  • アクセストークンの操作
  • パスザハッシュ、パスザチケット
  • ケルベロスティング
  • シルバーチケット、ゴールデンチケット、スケルトンキー
  • ADサーティフィケートサービス
  • 制約のない委任と制約のある委任
  • PrinterBugPetitPotamを用いた強制認証
  • ホッピング・ザ・トラスト
  • LLMNR/NBNS/WPAD
  • Bloodhound/SharpHound
  • AD エクスプローラー
  • SMB PipesRemote Desktop ProtocolPsExecWindows Management Instrumentationdcom
  • SMBリレー
  • LLMNR/NBT-NS ポイズニングとリレー
  • Responder
  • シャドウクレデンシャルの設定
  • ドメイン特権の悪用
  • DC Sync
  • ドメイン横展開、ドメイントラスト攻撃
  • ドメインとフォレスト間のピボッティング
  • フォレスト列挙、フォレスト攻撃

SEC565.5: Obtaining the Objective and Reporting

概要

セクション5では、新たに利用したアクセス権を使用して、環境に保存されている重要かつ機密性の高い情報を発見します。これらのデータを収集・流出させ、レッド・チームの行動の影響を実証します。アクティブ・テスト期間終了後、レッド・チームは、エンゲージメントを分析し、レポートを提供し、再テストを計画する必要があります。このセクションの最後には、コースの最終セクションにある没入型のレッドチーム旗取り演習の準備を行います。

演習

  • データベース攻撃
  • 目標に対する行動
  • VECTR
  • SCYTHE

トピックス

  • 目標に対する行動
  • データベース攻撃
  • SQLの乱用
  • トラスト・アビューズ
  • PowerupSQL
  • ターゲット・マニピュレーション
  • コレクション
  • データステージング
  • エクスフィルトレーション
  • インパクト
  • ランサムウェアのエミュレート
  • エンゲージメントクロージャー
  • 分析・対応
  • レッドチーム公開
  • 人とプロセスを測定する
  • 再試験
  • 修復とアクションプラン
  • 侵入・攻撃シミュレーション
  • APTシミュレータ
  • ネットワークフライトシミュレーター
  • アトミックレッドチーム
  • MITRE® CALDERA
  • SCYTHE

SEC565.6: Immersive Red Team Capture-the-Flag

概要

セクション6では、Windows Active Directoryの企業ネットワークを描いた脅威の代表的な範囲で、レッドチームによる活動を実施します。学生はそれぞれ3つのドメインで構成される独自の環境を持つことになります。このストーリー主導の環境は、各生徒がコースを通じて学んだ多くのスキルを行使するための十分な機会を提供します。この環境は、豊富なユーザーストーリー、ターゲットインテリジェンス、ユーザーのアクティビティで味付けされています。Windowsサーバー、ワークステーション、データベース、Active Directoryインフラストラクチャを対象とします。また、セグメント化されたネットワークを介したシステム操作を利用して、Linuxサーバーやデータベースを攻撃します。

演習

  • Windows Active Directoryの企業ネットワークに対するレッドチームによる取り組み

トピックス

  • 敵対的エミュレーション
  • 列挙
  • 初期アクセス
  • 永続性と特権のエスカレーション
  • クレデンシャルアクセス
  • ディスカバリー
  • 横展開
  • コレクション
  • コマンド&コントロール
  • エクスフィルトレーション
  • インパクト
  • クロージャー

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。