マルウェアを裏返す技術を身につけよう マルウェア解析ツールやテクニックを深く掘り下げる人気の反転コースです。FOR610トレーニングは、フォレンジック調査官、インシデント対応者、セキュリティエンジニア、脅威アナリストが、Windowsシステムを標的とし感染する悪質なプログラムを調査するための実践的なスキルを習得するのに役立っています。
マルウェアの機能を理解することは、脅威のインテリジェンスを導き出し、サイバーセキュリティインシデントに対応し、企業の防御を強化するために非常に重要です。このコースでは、様々なシステムおよびネットワーク監視ユーティリティ、ディスアセンブラ、デバッガ、その他自由に利用できる多くのツールを使用して、悪意のあるソフトウェアをリバースエンジニアリングするための強力な基礎を構築します。
自動分析ツールを使って劇的に発見しやすくするような手法で、マルウエアを解析するための基礎を身につけるところから始まります。悪意のあるソフトウエアの内部検査を行うフレキシブルなラボを設定する方法や、実世界にあるマルウエアのサンプルの特徴を発見するラボの使い方を学びます。悪意のあるプログラムを動かすことで検体の機能を発見するため、ラボの中でネットワークトラフィックをリダイレクトしたり遮断する方法を学習します。リバースエンジニアリングと関連する本質的なアセンブリ言語のコンセプトを学びます。重要な構成要素と実行フローを理解するために、ディスアセンブラやデバッガーの助けを借りて悪意のあるコードを検査することを学習します。加えて、悪意のあるプログラムにある怪しいWindows APIパターンに注目することによりマルウェアに共通の特徴を見つけ出す方法について学習します。
次に、悪意のあるMicrosoft Office、RTF、PDF文書ファイルを分析します。これらは、主流の攻撃や標的型攻撃において、攻撃チェーンの一部としてよく使用されます。このような文書がもたらす可能性のあるマクロやその他の脅威を調査する方法を学びます。また、JavaScriptやPowerShellスクリプトの形で悪意のあるスクリプトを難読化する方法を学びます。さらに、シェルコードの検査方法も学びます。
マルウエアは解析の邪魔をするためにしばしば難読化されています。そのためコースでは実行ファイルを分解するスキルを身に付けるためのサポートをします。デバッガーや追加の専門ツールを使ってメモリからそのようなプログラムをダンプする方法や作成者による保護をはずしてファイル構造をリビルドする方法を学習します。また、コードインジェクションやAPIフッキングを行い、システム上の存在を隠したり、情報の流れを妨害したりするマルウェアの検査方法についても学びます。
また、FOR610マルウェア解析トレーニングでは、解析から自身を守ろうとする悪意のあるソフトウェアの扱い方についても学びます。ファイルレス技術、サンドボックス回避、フローミスディレクション、デバッガ検知、その他の解析対策など、一般的な自己防衛策を認識し、回避する方法について学びます。
コース最終日は、CTFに挑戦していただきます。一連学んできたことの復習になり、実践的かつハンズオンでマルウェア解析を楽しみながら学べるよい機会となることでしょう。
本コースでは、管理下にあるラボでマルウェアを調査して、マルウェア解析手法を実践してみるハンズオン演習を重視しています。演習を行うことで、典型的なパターンを理解し、コードを分析する際に重要な部分を理解できるでしょう。そして演習をスムーズに行えるようにするために、あらかじめマルウェア解析用のツールを構成してあるWindowsとLinuxの仮想マシンを用意してあります。
