ニュースレター登録
資料ダウンロード
お問い合わせ

FORENSICS 528

Ransomware and Cyber Extortion

Digital Forensics and Incident Response

English
日程

2025年9月8日(月)~2025年9月11日(木)

期間
4日間
講義時間

1日目:9:00-17:30
2日目~4日目:9:30-17:30

受講スタイル
Live Online
会場

◆LiveOnline形式
 オンライン

GIAC認定資格
-
講師
Ryan Chapman|ライアン チャップマン
SANS認定インストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
24 Points
受講料

早期割引価格:1,050,000 円(税込み 1,155,000 円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

通常価格:1,150,000円(税込み 1,265,000 円)

申込締切日
早期割引価格:2025年7月25日(金)
通常価格:2025年8月29日(金)
オプション
  • OnDemand  170,000円(税込み 187,000円)
  • NetWars Continuous  290,000円(税込み 319,000円)

※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。

以下の「お申し込み」を押すと、NRIセキュアのお申し込みサイトに遷移します。

お申込み

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

FOR528 PC設定詳細

重要 この説明書に従って設定したシステムを持参してください。

このコースに完全に参加するためには、適切に設定されたシステムが必要です。この説明をよく読み、それに従わなければ、コースの実習に十分に参加することができません。従って、指定された要件をすべて満たすシステムでご出席ください。

授業の前にシステムをバックアップしてください。より良い方法は、機密データやクリティカルなデータのないシステムを使用することです。SANSはあなたのシステムやデータに対して責任を負いません。

システムハードウェア要件の必須

  • CPU:64ビットIntel i5/i7 (8世代以降)、または同等のAMD。このクラスには、x64ビット、0+GHz以上のプロセッサが必須です。
  • 重要:Apple Siliconデバイスは必要な仮想化を実行できないため、このコースでは使用できません。
  • BIOS設定は、「Intel-VTx」または「AMD-V」拡張機能などの仮想化テクノロジーを有効にするように設定する必要があります。変更が必要な場合に備えて、BIOSがパスワードで保護されている場合は必ずアクセスできるようにしてください。
  • 16GB以上のRAMが必要です。
  • 200GB以上の空きストレージ容量が必要です。
  • 使用可能なUSB 3.0 Type-Aポートが少なくとも1つ必要です。新しいノートパソコンでは、Type-CからType-Aへのアダプターが必要になる場合があります。一部のエンドポイント保護ソフトウェアではUSBデバイスが使用できないため、授業の前にUSBドライブを使用してシステムをテストしてください。
  • ワイヤレスネットワーク (802.11標準) が必要です。教室には有線インターネットアクセスはありません。

必須ホスト構成とソフトウェア要件

  • ホストオペレーティングシステムは、Windows 10Windows 11、またはmacOS 10.15.x以降の最新バージョンである必要があります。
  • クラスの前にホストオペレーティングシステムを完全に更新して、適切なドライバーとパッチがインストールされていることを確認します。
  • Linuxホストは、さまざまなバリエーションがあるため、教室ではサポートされていません。ホストとしてLinuxを使用することを選択した場合は、コース教材やVMで動作するように構成する責任があります。
  • ローカル管理者アクセスが必要です。(はい、これは絶対に必要です。ITチームの指示に従わないでください。)会社がコースの期間中にこのアクセスを許可しない場合は、別のラップトップを持参するように手配する必要があります。
  • ウイルス対策ソフトウェアまたはエンドポイント保護ソフトウェアが無効になっているか、完全に削除されているか、管理者特権を持っていることを確認する必要があります。多くのコースでは、オペレーティングシステムへの完全な管理者アクセスが必要であり、これらの製品によってラボを完了できない場合があります。
  • エグレストラフィックのフィルタリングによって、コースのラボを完了できない場合があります。ファイアウォールを無効にするか、管理者特権を持っている必要があります。
  • クラスの開始前に、VMware Workstation Pro 16.2.X+またはVMware Player 16.2.X+ (Windows 10ホストの場合)VMware Workstation Pro 17.0.0+またはVMware Player 17.0.0+ (Windows 11ホストの場合)、またはVMware Fusion Pro 12.2+またはVMware Fusion Player 11.5+ (macOSホストの場合) をダウンロードしてインストールします。VMware Workstation ProまたはVMware Fusion Proのライセンスされたコピーを所有していない場合は、VMwareから30日間の無料試用版をダウンロードできます。VMwareWebサイトで試用版に登録すると、VMwareから期限付きのシリアル番号が送信されます。また、VMware Workstation PlayerVMware Workstation Proよりも機能が少ないことに注意してください。Windowsホストシステムを使用している場合は、よりシームレスな学生エクスペリエンスのためにWorkstation Proをお勧めします。
  • Windowsホストでは、VMware製品がHyper-Vハイパーバイザーと共存できない場合があります。最適なエクスペリエンスのために、VMwareが仮想マシンを起動できることを確認してください。Hyper-Vの無効化が必要になる場合があります。Hyper-VDevice GuardCredential Guardを無効にする手順は、コース教材に付属のセットアップドキュメントに記載されています。
  • 7-Zip (Windowsホストの場合) またはKeka (macOSホストの場合) をダウンロードしてインストールします。これらのツールは、ダウンロードしたコース教材にも含まれています。

コースメディアはダウンロードで配信されます。クラスのメディアファイルは大きくなる可能性があります。多くは40~50GBの範囲で、100GBを超えるものもあります。ダウンロードが完了するまでに十分な時間を確保する必要があります。インターネット接続と速度は大きく異なり、さまざまな要因に左右されます。そのため、教材のダウンロードにかかる時間を見積もることはできません。リンクを取得したら、すぐにコースメディアのダウンロードを開始してください。コースメディアは、クラスの初日にすぐに必要になります。これらのファイルのダウンロードを開始するには、クラスの前夜まで待たないでください。

コース教材には、ライブクラスイベントに移動したり、オンラインクラスを開始したりする前に実行する必要がある重要な手順を詳述した「セットアップ手順」ドキュメントが含まれています。これらの手順を完了するには、30分以上かかる場合があります。 

クラスでは、ラボの手順に電子ブックを使用します。この新しい環境では、2つ目のモニターやタブレットデバイスは、コースのラボで作業している間にクラス教材を表示しておくのに役立ちます。

FOR528 コース概要

"ランサムウェア"という用語は、リソースをロックダウンする単純な暗号化機能を指すものではなくなりました。サービスとしてのランサムウェア (RaaS) の進化と共に、人間が操作するランサムウェア (HumOR) の出現により、キーボードを使った実践的な、適切に計画された攻撃キャンペーンで成功するエコシステム全体が作成されました。これは急速に拡大している脅威であり、不適切なマウスクリックによる1台のマシンへの感染から、大規模なネットワークと小規模なネットワークを同様に破壊できる急成長中の企業へと進化しています。恐喝行為者が暗号化機能を展開していない場合でも、その影響は壊滅的なものになる可能性があります。

FOR528:Ransomware and Cyber extortionコースでは、ランサムウェアの詳細に対処して、これらの攻撃の余波に備え、検出、追跡、対応し、対処する方法を学生に教えます。このコースは、実際のデータを使用して学習する実践的なアプローチを特徴としており、学生が学習を固めるのに役立つ1日間のキャプチャフラグ (CTF) チャレンジが含まれています。4日間のクラスでは、収集するアーティファクト、それらを収集する方法、収集作業をスケールする方法、データを解析する方法、解析された結果を集計して確認する方法を学生に教えます。 

また、このコースでは、ランサムウェアとサイバーextortion攻撃のライフサイクルの各フェーズの詳細と検出方法についても説明します。これらのフェーズには、初期アクセス、実行、防御回避、永続化、Active Directory (AD) に対する攻撃、特権のエスカレーション、資格情報アクセス、横方向の移動、データアクセス、データ流出、およびペイロードの展開が含まれます。

受講対象者

  • ランサムウェアのインシデント対応をサポートするために、フォレンジックアーティファクトを収集、解析、分析する方法を学びたい情報セキュリティの専門家
  • 詳細なデジタルフォレンジックを使用して、Windowsのデータ侵害と侵入のケースを解決し、損害評価を実行し、侵害の指標を開発する必要があるインシデント対応チームのメンバー
  • セキュリティオペレーションセンター (SOC)、コンピュータインシデント対応チームなどで働くインシデントトリアージアナリスト
  • ランサムウェアのインシデント対応を支援する必要があるManaged Services Provider (MSP) およびManaged Security Services Provider (MSSP) アナリスト
  • 法執行官、連邦捜査官、およびランサムウェア調査の対象分野の専門家になることを希望する刑事
  • ランサムウェアのイベントに対応する必要がある医療およびホスピタリティITスタッフ
  • ランサムウェア固有のインシデント対応を深く理解することに関心があり、情報システム、情報セキュリティ、コンピューターのバックグラウンドを持つすべての人

シラバス

  • DAY1
  • DAY2
  • DAY3
  • DAY4

Ransomware Incident Response Fundamentals

概要

ランサムウェアとサイバー恐喝コースは、ランサムウェアの歴史の復習から始まります。最初に知られているランサムウェア攻撃の話から始まり、私たちの業界に立ちはだかる現在の脅威に進みます。HumORRaaSの出現により、生活は言うまでもなく、私たちの内部に接続された生活が毎日危険にさらされています。これらの脅威に関連する役割、プロセス、通信方法、アクティビティを深く掘り下げていくことで、ランサムウェアの理解を深めていきます。

次に、暗号化されようとしている場合、現在暗号化されている場合、または最近暗号化された場合に行うべきことについて説明します。連絡する必要があるエンティティ、関与する必要がある部門、時間的な要件に特に注意して配置する必要があるプロセスなど、実行する必要があるアクションについて説明します。

私たちが直面している真の脅威と、一般的なインシデント対応プラクティスを適用する方法について学習した後、ランサムウェアキャンペーンの分析に最適なWindowsベースのフォレンジックアーティファクトについて詳しく説明します。収集するアーティファクトと、取得と解析に最適なツールと方法について説明します。組織の準備レベルに関係なく、分析を容易にするデータを取得するためにできることについて説明します。

単一のコンピューターに対して直接取得するための実践的なアプローチを学習し、大規模な取得と分析に移行します。詳細なハンズオンラボでは、各環境の種類の分析方法について説明します。TimeSketchを使用して解析された成果物を分析し、簡単に成功する方法と、ランサムウェアの脅威への組織の対応に役立つ高度な分析プラクティスを認識できるようにします。

 

演習

  • カスタマイズされたFOR528 WindowsおよびSIFT仮想マシン (VM) をインストールし、詳細なログレビューとマルウェア分析に必要なように構成します。
  • ランサムウェア"ビルダー"を利用して、暗号化解除ツールと共にカスタマイズされたランサムウェア暗号化ペイロードを生成します。生成したランサムウェアペイロードを実行し、暗号化されたファイルを確認してから、暗号化解除ツールを使用してデータの暗号化を解除します。
  • 侵害された環境から収集された法医学的成果物を確認し、Kroll Artifact Parser and Extractor (KAPE) を使用してデータを解析します。Timeline Explorerを使用して、マスターファイルテーブル (MFT)SRUMShellbagsShimcache、およびWindowsイベントログの成果物に焦点を当てながら、KAPEによって解析されたデータを確認します。
  • 前のラボの手動分析から大規模な分析に移行するときに、MFTSRUMShellbagsShimcache、およびWindowsイベントログの分析がどのようにスケールするかに焦点を当てながら、TimeSketchインターフェイス内でデータをハントします。

トピックス

  • VM
    • 概要とセットアップ
  • カスタムターゲットの被害者とそのネットワークの確認
    • Samaran Protect
  • カスタム攻撃シナリオの概要-ラボとCTFは、次の攻撃に基づいています。
    • BlueLocker」ランサムウェアグループ
    • Balrog」ランサムウェアグループ
  • ランサムウェアの進化と歴史
    • 最初に認識するランサムウェア攻撃
    • ロッカーと単一マシン暗号化ペイロード
    • HumOR
  • サービスとしてのランサムウェア (RaaS)
    • RaaSモデル、階層、ロール
    • RaaSビルダーおよびジェネレーター
    • RaaSダッシュボード
  • 初期アクセスブローカー (IAB)
    • アクセス方法
    • ダークネットマーケットプレイス
    • 被害者アクセス:販売と購入
  • ランサムウェアオペレータ
    • 時間の経過に伴うグループの進化
    • 恐喝の種類
    • データリークサイトと心理的圧力
    • ダークウェブフォーラムのコミュニケーション
  • アクティブな脅威への対処
    • 時間に関する考慮事項
    • インフォームドコンセント
    • 関与する必要がある部門と役割
    • Going Dark(インターネット接続の切断)
    • 重要なサービスと機能のセキュリティ保護
    • 今行う必要があることと後で行う必要があること
  • ランサムウェアの支払い
    • 支払いに関するデメリット
    • 支払いに関するメリット
    • 脅威アクターのコミュニケーションとネゴシエーション
  • フォレンジックアーティファクトの収集
    • KAPEによって収集されたアーティファクトを確認する
    • KAPEを使用して収集されたアーティファクトを処理/解析する
    • 解析されたアーティファクトの出力を確認して、レビューのためにフォレンジックデータを解析するために利用されたツールと方法論について理解を深める
  • インシデント対応プロセスとそのランサムウェアへの適用
    • インシデント対応への動的アプローチ (DAIR) モデル
    • 一般的なランサムウェアキャンペーンのフェーズ
  • Windowsフォレンジックアーティファクト
    • イベントログ、ShellbagsShimcacheSRUMなど
    • SANSの「Windowsフォレンジックアナリシス」ポスターのレビュー
    • タイムラインエクスプローラーを使用して、一般的な解析ツールでCSVファイル出力を分析する
    • アーティファクト収集ツール
    • フォレンジックアーティファクトの取得
    • 大規模な分析
    • Velocirapterを使用した一括収集
    • Sysmonによるログの拡張
    • Log-MDによるログ監査レビュー
    • ログアグリゲータ/SIEMおよびファイル名
  • TimeSketchによる大規模な分析

Ransomware Modus Operandi

概要

ランサムウェアインシデントは特に特殊なものではありません。インシデント対応者は、同じ戦術、手法、および手順 (TTP) を何度も目にします。では、それらを検出する方法を学びましょう。

セクション2は、Kibanaのハンズオンラボから始まります。これは、ランサムウェアやサイバー恐喝の調査を容易にするために役立つセカンダリログ集計グラフィカルユーザーインターフェイスです。次に、成果物の分析から、ランサムウェアキャンペーンの攻撃サイクルの初期段階の説明に移ります。最初のアクセス、実行、防御回避、およびスクリプトエンジンの乱用について説明します。ほとんどのランサムウェアのケースでは、PowerShellBatchスクリプト、JavaScriptVisual Basic Scriptingなどのスクリプトエンジンを利用するアクターが関係しています。

次に、繰り返し使用されるさまざまなツールとスクリプトについて説明し、各ツールの概要と、検出と検出の詳細を示します。次に、永続性について説明します。一般的なC2メカニズム、RMMソリューション、およびランサムウェアのオペレーターが環境へのアクセスを維持するために使用するネイティブのWindowsメソッドについて説明します。

次に、Cobalt Strike (CS) の詳細なレビューに移ります。これは、おそらくその仕事が"良すぎる"ようになった敵対者エミュレーションおよび攻撃シミュレーションツールです。侵入テスターやレッドチームなど、世界中の多くのセキュリティ専門家がCSに依存しています。残念ながら、この非常に強力な商用ツールは、ランサムウェア攻撃の非常に高い割合で使用されています。ツールのインフラストラクチャ、調整可能なC2プロファイル、ペイロード検出/難読化方法などについて学習します。このモジュールには、CSペイロードのデコードを学習するハンズオンラボが含まれています。

トレーニングの多くは、分析方法を順を追って説明するハンズオンラボで区切られています。インシデント対応の経験があるユーザーと新しいユーザーの両方が、ランサムウェアまたはサイバー恐喝インシデントを最初から最後まで処理できるようにすることを目的としています。

演習

  • ElasticsearchLogstash、およびKibana (ELK) スタックに関連付けられている最も一般的なインターフェイスの概要を学習しながら、以前のラボで習得したスキルを適応させます。
  • 親プロセスとしてのMicrosoft Officeアプリケーションの検出、Windowsでネイティブに開かれたzipファイル、zipファイルの資格情報の読み取り操作、Outlookのダウンロード/実行ファイル、およびMicrosoftセキュリティセンターの確認によって、成功したフィッシング攻撃を特定します。
  • エンコードおよび難読化されたPowerShellペイロードの分析について学習します。
  • PowerShellシェルコードインジェクター、"ステージレス"ビーコンEXEおよびDLLローダーなどのCSペイロードをデコードおよび分析します。
  • 悪意のあるRDPアクティビティをハントして、初期感染ベクターと内部から内部への横方向の移動を特定します。

トピックス

  • Kibanaによる大規模な分析
  • セクション2で説明されているランサムウェア攻撃キャンペーンのフェーズ:
    • 初期アクセス
    • 実行
    • 防御回避
    • 永続性
  • 初期アクセス
    • 初期アクセス方法のトップ3:RDP、フィッシング、ソフトウェアの脆弱性
    • フィッシングベクター
  • マルウェア感染と資格情報の収集
  • MalDocsなどの悪意のある添付ファイル
  • 電子メールゲートウェイファイルブロックリストの確認
  • 悪意のあるリンクとその分析方法
    • リモートデスクトッププロトコル (RDP)
  • 有用なWindowsイベントログ
  • 悪意のあるRDPアクティビティの識別
    • ソフトウェアの悪用/脆弱性
  • ゼロデイ脆弱性と一般的な脆弱性およびエクスポージャ (CVE)
  • 実際に標的にされ、悪用されたCVEの例
  • Darknetフォーラムディスカッション
    • サービスとしてのマルウェア (MaaS)
  • 実行と防御回避
    • 脅威アクターツール
  • 無料およびオープンソース (FOSS)
  • ネイティブスクリプトエンジン
  • Living Off the Landバイナリとスクリプト (LOLBAS)
  • 敵対者エミュレーション用の商用ツール
  • MaaS
    • セキュリティサービス/メカニズムバイパス方式
    • ネイティブ実行方式
    • Windows Management Instrumentation (WMI) 攻撃
    • スクリプトエンジンの悪用
  • PowerShell
  • バッチスクリプト
  • JavaScriptスクリプト
  • Visual Basicスクリプト
    • PowerShellログと高度な分析
  • 関連付けられたWindowsイベントログと有効化
  • PowerShellのパラメーターと目的
  • 永続性
    • 一般的なC2メソッド
    • リモート監視と管理 (RMM)
    • 悪用後のフレームワーク
    • アカウントの作成
    • ブート/ログオンの自動開始場所
    • サービスのインストール
    • スケジュールされた
    • WMIイベントのサブスクリプション
  • コバルトストライク (CS)
    • 脅威アクターのアクセスと使用率
    • CSのアーキテクチャとコンポーネント
    • Malleable C2プロファイル
    • コマンドチートシート
    • 方式
    • ペイロードデコードツールおよび方法

Advanced Ransomware Concepts

概要

セクション3は、特権のエスカレーション、資格情報へのアクセス、および横方向の移動から始まります。ランサムウェア攻撃者は、コンピューター上の特権をエスカレートするためにどのようなツールを使用しますか。Windowsホストから保存されている資格情報にどのようにアクセスしますか。よくダンプされるプロセス、その理由、および方法は何ですか。横方向の移動については、RDPSMB (特にPsExec)WinRM、およびその他の方法を使用して被害者のネットワーク全体を移動する方法について学習します。

次に、MicrosoftADに対する攻撃に注目します。ランサムウェアのオペレーターはADを攻撃するのが好きなので、ADの不適切な構成を利用して特権を昇格させ、資格情報にアクセスするさまざまな方法について説明します。

このコースのより重要なセクションの1つであるデータアクセスとデータ流出で、攻撃のライフサイクルを続けます。組織は通常、どのようなデータがアクセスされたか、または盗まれたかを知りたいと考えています。データのアーカイブとステージングの方法について説明します。これには、これらのアクティビティを容易にするツールを探す方法も含まれます。FTPが一般的な流出ルートだと思いますか?どのようなデータが流出しているかわからない場合でも、データが流出していることを検出するにはどうすればよいでしょうか?お見せします!

次に、ランサムウェア攻撃の最後のフェーズであるペイロードの展開と暗号化の内部動作に移ります。バックアップと回復の改ざんと、ランサムウェアアクターがバックアップシステムを攻撃する方法について説明します。アクターが痕跡を隠す方法は明らかに見えるかもしれませんが、実際にはそうです。このセクションの最後に、最も一般的なペイロードの展開方法に関する技術的な詳細について説明します。

最後に、名前が変更された実行可能ファイル、ディレクトリ分析による悪意のあるファイル/プロセスの特定、ウイルス対策ログ分析による一般的な攻撃などの検索方法について説明します。ここでは、組織を監視するための最善の方法を示します。

 

演習

  • RDPPsExecなどのメカニズムを使用して横方向の移動を特定します。
  • NTFSメタデータ(NTFSUsnJrnlなど。)、取得した成果物の手動解析、タイムラインエクスプローラー、TimeSketchKibanaを使用して、データアクセスと潜在的な流出をハントして特定します。
  • PSTools、名前変更された実行可能ファイル、共通ディレクトリなどの検出方法を使用して、脅威アクターのツールボックスを検出します。
  • WMI、コバルトストライクなどの追加の横方向の移動を特定します。

トピックス

  • セクション3で説明されているランサムウェア攻撃キャンペーンのフェーズ:
    • 特権のエスカレーション
    • 資格情報アクセス
    • 横方向の移動
    • ADに対する攻撃
    • データアクセス
    • データ流出
    • ペイロードの展開
  • 特権のエスカレーションと資格情報アクセス
    • 一般的に標的にされるアカウント
    • アカウントが標的にされる方法
    • ユーザーアカウント制御 (UAC) のバイパス方法
    • ローカルセキュリティ機関サーバーサービス (LSASS) のアクセスとダンプ
    • dit攻撃
    • 代替資格情報攻撃
  • ブラウザおよびパスワード管理ツールに保存されたパスワードに対する攻撃
  • セッションスニファおよびエクストラクタ
  • 一般的なオールインワンソリューション(:WinPwn)
  • 横方向の移動
    • RDPおよびRDPキャッシュビットマップ分析
    • サーバーメッセージブロック (SMB) 横方向の移動
    • 名前付きパイプの使用率とサービスインストールとの関係
    • SysInternals PsExec
    • Windowsリモート管理 (WinRM)
    • ESXiに対する攻撃
  • AD攻撃
    • AD列挙
    • BloodhoundおよびSharpHound
    • Kerberos認証
    • AS-REP認証
    • DCSync攻撃
    • ゴールデンチケット攻撃
  • データアクセス
    • レポートおよび法的な考慮事項
    • ネットワーク共有の列挙とアクセス
    • 削除されたファイルとファイルの知識
    • ファイルとフォルダのアクセス
    • レジストリのアクセス
    • ツール固有の分析
  • データの流出
    • アーカイブの作成
    • ステージング
    • .txtおよび.csvファイルの作成/使用
    • データ流出ルート
    • ネットワークログおよびNetFlowの確認
  • バックアップと回復の改ざん
    • ボリュームシャドウサービス攻撃
    • ブート設定データ、Windowsブートステータスポリシー、およびWindowsバックアップ攻撃
    • イベントログのクリア
  • ペイロードの展開
    • 一般的な展開ツールと方法
    • PsExecによる展開
    • Windows Management Instrumentationコマンドライン (WMIC) による展開
    • バックグラウンドインテリジェント転送サービス (BITS) による展開
  • 暗号化と復号化
    • 暗号化キーの種類
    • 暗号化方式の上書きとコピー/削除
    • 身代金に関する注意事項
    • 暗号化メカニズムのソースコードの確認
    • 復号化
  • ランサムウェアのオペレーターの捜索-識別方法
    • 悪意のあるRDP接続
    • プロセス名とパスの異常
    • 不正/悪意のある実行可能ファイル
    • PowerShellでエンコードされたコマンド
    • ウイルス対策ログの悪意のあるアクティビティ
    • 環境変数に関連する悪意のあるアクティビティ

Ransomware Incident Response Challenge

概要

ランサムウェアインシデントに対応するための準備として、経験以上のものはありません。組織内でこのような経験を積みたくない場合は、感染ベクターから環境内で実行されている暗号化ペイロードまで、ランサムウェアインシデントを分析する1日のCTFチャレンジを提供します。Samaran Protectという被害組織を作成しました。これは、組織に関連する可能性が最も高い組織です。

CTFチャレンジは、被害組織に対する特別に作成された攻撃シナリオに関する50の質問で構成されています。ターゲットの被害者のネットワークには、次の3つのVLAN内にある15のホストが含まれています。

これらの攻撃を実行するために、2つの異なるランサムウェアグループを考案しました。それぞれは、現在運用されているランサムウェアの脅威グループを統合したものです。TTPは、ランサムウェアイベントに対応するユーザーが毎日目にする現実世界のシナリオを反映しています。各シナリオに関与するアクターは、異なるエントリ方法、資格情報アクセス方法、ツール、展開方法、および暗号化ペイロードを使用します。

さらに、各シナリオは、さまざまな種類の環境を模倣しています。1つは、被害者組織がインシデント対応を支援するためにフォレンジックデータを意図的に収集していない環境であり、もう1つは、被害者が適切なツールを使用していて、何に対しても準備ができている環境です。組織がインシデント後にすべての成果物の収集と解析を開始する必要があるか、データログを拡張して本格的なSIEMを活用しているかにかかわらず、Capstoneで説明する方法は、組織の方法と機能に関連するのに役立ちます。

演習

  • すべてのランサムウェアインシデントに共通する質問に答えるために、2つの異なるシナリオで解析されたフォレンジックアーティファクトとログを分析する1日。
  • SANSの新しいioプラットフォームを利用します。

トピックス

  • デジタル科学捜査フラグイベントのキャプチャ
  • 分析
  • シナリオ1で収集されたデータの解析されたアーティファクトとログデータを確認する
  • Windowsイベントログ、Sysmonデータ、プログラム実行のアーティファクト、レジストリハイブファイルなどを調べる
  • 最初の感染ベクターから暗号化ペイロードの展開と実行まで、脅威アクターのアクションを追跡する
  • 各攻撃キャンペーンの各主要フェーズで使用されたツール、スクリプト、戦術、およびプロセスを特定する
  • すべての組織がランサムウェアイベントの後に知る必要がある次のような質問に回答する。
  • アクターはどのようにしてネットワークに侵入したか?
  • アクターはどのようなデータにアクセスできたか?
  • アクターはデータを盗むことができたか?
  • 暗号化ペイロード自体を含め、キャンペーン全体でどのシステムが影響を受けたか?

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。

ニュースレター登録
資料ダウンロード
お問い合わせ