FORENSICS 508

先進的なインシデントレスポンスと脅威のハンティング

あなたを狙う敵に対して優位に立つ方法はいくつかあります。まずは正しい考え方と、効果的な方法を知ることから始まります。

過去10年間、ネットワーク防御者にとって厳しい時代でした。現代の企業に対する脅威は膨大で、攻撃者は企業ネットワークの複雑さを巧みに利用してきました。しかし、状況は変わりつつあります。過去10年間で、組織に対する高度な攻撃が劇的に増加しました。国家が支援する攻撃者、いわゆる「APT（Advanced Persistent Threat）」の抑制は困難を極めています。世界各地から大規模な金融攻撃が起こり、数十億ドル規模の損失が発生しています。ランサムウェアや恐喝は、一夜にして企業存亡の危機となりました。不利な状況が続く中、優秀なセキュリティチームは、これらの脅威を管理・軽減できることを証明しています。FOR508™は、こうした苦労して得た教訓を教育現場に活かすことを目的としています。

攻撃を理解することは、攻撃を検知し、軽減するために不可欠です。初日から攻撃者のテクニックに関する教育を開始し、一般的なマルウェアと攻撃の特性について学び、ネットワーク内での持続性を維持するために攻撃者が使用するテクニックを深く掘り下げます。持続性は通常、攻撃サイクルの早い段階で完了するため、学生はネットワークを監査し、早期発見を実現するためのハンティングテクニックを習得します。特に、Living off the landバイナリ（ほとんどの環境で利用可能なローカルツール）、PowerShell、WMIベースの攻撃は、高度な攻撃者の標準的な操作手順となっており、学生は大規模な攻撃を特定するためのツールとテクニックを徹底的に練習します。最後に、Microsoftの認証情報について深く掘り下げます。現代の企業における認証情報の複雑さは強調しすぎることはありません。認証情報は、あらゆるネットワークに存在する最大の脆弱性です。認証情報を狙うために使用されるツールとテクニックを理解することで、受講者はこれらの壊滅的な攻撃を防止、検出、軽減する方法を学びます。

演習

• APTインシデント対応のシナリオ紹介
• マルウェアの持続性検出と分析
• ローカルおよびリモートトリアージ証拠画像の作成
• リモートエンドポイントインシデント対応の拡張

トピック

実際のインシデント対応戦略

• 準備: インシデント対応チームが侵入に適切に対応するために必要な主要なツール、テクニック、手順
• 識別/スコープ設定: インシデントの適切なスコープ設定と、企業内の侵害されたすべてのシステムの検出
• 封じ込め/情報開発: 脅威情報を開発するために、アクセスを制限し、監視し、攻撃者について学習する
• 根絶/修復: 現在のインシデントを阻止し、リアルタイムの修復に移行するために必要な主要な手順を決定して実行する
• 回復：インシデントにつながるシステム上の弱点に対処する
• 教訓/脅威インテリジェンスの活用: 発見されたTTPを活用して、今後も同様の侵入を継続的に追跡し、検出する。

脅威ハンティング

• ハンティングとリアクティブレスポンスインテリジェンス主導のインシデント対応
• 継続的なインシデント対応/脅威ハンティング能力の構築
• エンドポイントにおけるフォレンジック分析と脅威ハンティング
• 脅威ハントチームの役割
• ATT&CK - MITREの敵対的戦術、テクニック、そして共通知識

マルウェア

• 侵害されたシステムの特定
• アクティブおよび休止状態のマルウェアの検出
• コード署名のためのデジタル署名
• マルウェアの特徴
• 一般的な隠蔽と永続化のメカニズム
• 正常を理解することで悪を見つける
• 組み込みコマンド（「Living off the Land」）およびサードパーティ製ユーティリティの悪意のある使用

企業全体のインシデントレスポンスとハンティング

• 迅速対応ツールソリューション
• PowerShell リモート処理
• PowerShell リモート認証情報の保護
• Kansa PowerShell リモート IR フレームワーク
• KAPEトリアージ収集ツール
• Velociraptorインシデント対応プラットフォーム

マルウェアの持続性の識別

• 自動起動の場所、実行キー
• サービスの作成/置き換え
• サービス障害回復
• スケジュールされたタスク
• DLLハイジャック攻撃
• WMIイベントコンシューマー

機微情報の窃取の防止、検出、緩和

• ハッシュを渡す
• トークンの盗難
• キャッシュされた資格情報
• LSA シークレット
• NTLM攻撃
• Kerberos攻撃攻撃
• ゴールデンチケット
• Kerberos認証DCSyncNTDS.DIT​​の盗難
• Bloodhound と Active Directory のグラフ化
• Mimikatz、Metasploit、その他多くのツールによる認証情報攻撃
• 技術的およびアーキテクチャ的な緩和技術

侵入分析

最強の攻撃者でさえ、あらゆる場所に足跡を残します。最強のハンターの秘密を学びましょう。

サイバーディフェンダーは、ネットワーク内での攻撃者の活動を特定し、追跡、追跡するために多種多様なツールとアーティファクトを活用しています。攻撃者の行動はそれぞれ対応するアーティファクトを残します。そして、その痕跡が何であるかを理解することは、レッドチームとブルーチームの両方のメンバーにとって非常に重要です。攻撃は予測可能なパターンに従うため、私たちはそのパターンの不変部分に重点的に調査を行います。例えば、攻撃者は目的を達成するために、ある時点でコードを実行する必要があります。このアクティビティは、アプリケーション実行アーティファクトを通じて特定できます。攻撃者は、コードを実行するために1つ以上のアカウントを必要とします。したがって、アカウント監査は悪意のあるアクティビティを特定するための強力な手段となります。

演習

• 大規模な実行の証拠の探索と検出
• 資格情報の不正使用の発見
• 横方向の移動の追跡
• WMIとPowerShellの悪意ある使用の検出

トピック

実行痕跡の高度な証拠

• プロセス実行を通じて観察された攻撃者の戦術、手法、手順（TTP）
• プリフェッチ分析
• アプリケーション互換性キャッシュ（ShimCache）
• Amcacheレジストリ検査
• ShimCache と Amcache の調査のスケーリング

横移動に対する戦術、テクニック、手順（TTP）

• 資格情報の侵害手法
• リモートデスクトップサービスの不正使用
• Windows 管理者共有の悪用
• PsExecとCobalt Strike BeaconのPsExecアクティビティ
• Windows リモート管理ツールのテクニック
• PowerShell リモート処理/WMIC ハッキング
• Cobalt Strike の横展開と認証情報の利用
• 脆弱性の悪用

インシデントレスポンダおよびハンターのイベントログ分析

• アカウントの使用状況とログオンのプロファイリング
• 追跡と追跡による横方向の移動
• 疑わしいサービスの特定
• 不正アプリケーションのインストールの検出
• マルウェアの実行とプロセス追跡の検出
• コマンドラインとスクリプトのキャプチャ
• アンチフォレンジックとイベントログの消去

WMIおよびPowerShellベースの攻撃の調査

• WMIの概要
• キルチェーンを通じたWMI攻撃
• WMIリポジトリの監査
• WMIファイルシステムとレジストリの残留
• コマンドライン分析とWMIアクティビティログ
• PowerShell トランスクリプトと ScriptBlock ログ
• Cobalt Strike ビーコン PowerShell インポート アクティビティの検出
• Cobalt Strike、Metasploit、Empire からの PowerShell インジェクションの検出
• PowerShell スクリプトの難読化
• Microsoft Defender ログ、検出履歴、MPLog 分析

インシデントレスポンスと脅威のハンティングにおけるメモリフォレンジック

メモリ分析を使うと、まるでズルをしているように感じることがあります。アクティブな攻撃を見つけるのは、こんなに簡単であってはなりません。

メモリフォレンジックは、わずか数年で大きく進歩しました。現在では、多くの高度なツールスイート（特にEDR）の重要なコンポーネントであり、インシデント対応および脅威ハンティングチームの成功を支える柱となっています。メモリフォレンジックは、標的型攻撃者が使用するワーム、ルートキット、PowerShell攻撃、ランサムウェアの前兆、高度なマルウェアの証拠を見つけるのに非常に効果的です。実際、ファイルレス攻撃の中には、メモリ分析なしでは解明がほぼ不可能なものもあります。メモリ分析は従来、Windows内部の専門家やリバースエンジニアの領域でしたが、新しいツール、手法、検出ヒューリスティックの登場により、その範囲は大幅に広がり、今日ではすべての調査担当者、インシデント対応担当者、脅威ハンターが利用できるようになりました。さらに、メモリ内の攻撃パターンを理解することは、幅広いエンドポイント検出および対応（EDR）製品に適用できる中核的なアナリストスキルであり、これらのツールをさらに効果的なものにしています。

演習

• EDRの機能と課題
• EDRとメモリフォレンジック
• メモリの取得システムメモリの取得
• 休止状態とページファイルのメモリ抽出と変換
• 仮想マシンのメモリ取得
• Windows 10と11におけるメモリの変更

トピック

エンドポイントディテクションおよびレスポンス（EDR）

• • EDRの機能と課題
  • EDRとメモリフォレンジック

メモリ獲得

• システムメモリの取得
• ハイバネーションとページファイルメモリの抽出と変換
• 仮想マシンのメモリ獲得
• Windows 10および11におけるメモリの変更点

レスポンスとハンティングのためのメモリフォレンジック分析プロセス

• 一般的なWindowsサービスとプロセスの理解
• 不正なプロセスの特定
• プロセスオブジェクトの分析
• ネットワークアーティファクトの確認
• コードインジェクションの証拠の検索
• 監査ドライバーとルートキット検出
• 疑わしいプロセスとドライバーのダンプする

メモリフォレンジックスの検査

• ライブメモリフォレンジック
• 揮発性メモリ分析
• プロセスツリー分析によるWebシェル検出
• メモリ内のコードインジェクション、マルウェア、ルートキットの探索
• MemProcFS による高度なメモリフォレンジック
• WMI および PowerShell プロセスの異常
• メモリ常駐の攻撃者のコマンドラインの抽出
• Windows サービスの調査
• 比較ベースラインシステムを使用したマルウェアハンティング
• RAMからキャッシュされたファイルの検索とダンプ

メモリ解析ツール

• Velociraptor
• Volatility
• MemProcFS

タイムライン解析

タイムライン分析は、デジタルフォレンジック、脅威ハンティング、インシデント対応へのアプローチ方法を永久に変えるでしょう。

時間データはコンピュータシステムのあらゆる場所に存在します。ファイルシステムの変更／アクセス／作成／変更時刻、ログファイル、ネットワークデータ、レジストリデータ、ブラウザ履歴ファイルなど、あらゆるものに時間データが含まれており、それらを相関分析することで迅速な事件解決に役立ちます。2001年にRob Lee氏によって初めて開発されたタイムライン分析は、重要なインシデント対応、ハンティング、そしてフォレンジック技術へと発展しました。新しいタイムライン分析フレームワークは、多数のシステムと多数のフォレンジックアーティファクトを同時に調査する手段を提供します。かつては数日かかっていた分析が、今では数分で完了します。

演習

• マルウェア検出
• スーパータイムライン分析による攻撃者の活動の追跡
• システムを介した攻撃者の動きの観察
• 侵入の根本原因の特定

トピック

マルウェア検出

• エントロピーとシグネチャ分析による疑わしいプロセスの特定
• AV検疫での悪質なファイルの回復
• マルウェア分類にYARAを使用する
• Capaを使用して悪意のあるバイナリを確認する

タイムライン解析の概要

• タイムラインのメリット
• 前提知識
• ピボットポイントの検索
• タイムラインのコンテキストの手がかり
• タイムライン分析プロセス

ファイルシステムタイムラインの作成と分析

• MACBタイムスタンプ
• Windowsタイムルール (ファイルコピーとファイルの移動)
• Sleuthkit、fls、MFTECmdを使用したファイルシステムタイムラインの作成
• mactimeツールを使用したボディファイルの分析とフィルタリング

スーパータイムラインの作成と分析

• スーパータイムラインアーティファクトルール
• プログラム実行、ファイル知識、ファイルオープン、ファイル削除
• log2timeline/Plaso によるタイムライン作成
• log2timeline/タイムラインコンポーネント
• psort を使ったスーパータイムラインのフィルタリング
• ターゲットを絞ったスーパータイムラインの作成
• スーパータイムラインの分析テクニック
• Elastic Search (ELK)を使用したスーパータイムライン分析のスケーリング

企業全体でのインシデント対応とハンティング | 高度な攻撃者検知とアンチフォレンジック検知

高度な攻撃者は常に進化を続けています。私たちもそれに追いつかなければなりません。

攻撃者は、侵害を受けたシステム上で自身の存在を隠すための対策を講じることがよくあります。フォレンジック対策の中には比較的容易に検出できるものもありますが、対処が非常に困難なものもあります。そのため、フォレンジック専門家やインシデント対応者は、重要な残存証拠を明らかにする可能性のあるオペレーティングシステムとファイルシステムの様々な側面について十分な知識を持つことが重要です。

演習

• ボリュームシャドウスナップショット分析
• タイムライン
• NTFSを使用したアンチフォレンジック分析
• タイムスタンプ識別
• 高度なデータ復旧

トピック

ボリュームシャドウコピー分析

• ボリュームシャドウコピーサービス
• ボリュームスナップショット内の履歴データにアクセスするためのオプション
• vshadowmount によるシャドウコピーへのアクセス
• ボリュームシャドウコピーのタイムライン

高度なNTFSファイルシステムの戦略

• NTFSファイルシステム分析
• マスターファイルテーブル（MFT）の重要な領域
• NTFS システムファイル
• NTFSメタデータ属性
• $StdInfo と $Filename の Windows タイムスタンプルール
• タイムスタンプ操作の検出
• 常駐ファイルと非常駐ファイル
• 代替データストリーム
• NTFSディレクトリ属性
• B-Treeインデックスの概要とバランシング
• $I30インデックスを使用して消去/削除されたファイルの検索
• ファイルシステムのフライトレコーダー: $Logfile と $UsnJrnl
• ジャーナルの一般的なアクティビティパターン
• ジャーナルの便利なフィルターと検索
• NTFS ファイルシステムからデータが削除されると何が起こるか?

高度な証跡回収

• 一般的なワイパーとプライバシークリーナーのマーカー
• 削除されたレジストリキー
• レジストリ内の「ファイルレス」マルウェアの検出
• ファイルカービング
• ボリュームシャドウカービング
• NTFSアーティファクトとイベントログレコードのカービング
• 効果的な文字列検索
• アンチフォレンジック対策のためのNTFS構成の変更

APT Threat Group インシデントレスポンスチャレンジ