防御側の分析スキルが向上し、マルウェアの自動検出機能が改善されるにつれ、マルウェアの作成者は、そのマルウェアを攻撃対象の企業で実行できるようにするため、より努力を重ねています。その結果、検知と分析を妨げるため、メモリ内で実行される、難読化を何重にも施したモジュール型のマルウェアが生み出されています。マルウェアアナリストは、これらの高度な機能に対応できるように準備し、可能な限り自動化を進めて、企業を標的とするマルウェアの量、種類、複雑さに対応する必要があります。
FOR710はFOR610の次のステップに位置づけられ、中級レベルのマルウェア解析能力を身につけた受講生が、さらに高度な解析能力を身につけるためのコースです。SANS認定インストラクターのAnuj Soniが開発したこのコースは、世間を騒がし、世界中のインシデント対応チームを悩ませるような高度なWindows実行ファイルを解析できるようにするためのものです。
深いリバースエンジニアリングのスキルを身につけるには、一貫した練習が必要です。このコースでは、座学だけでなく、授業中に実際のリバースエンジニアリングの実践演習に取り組む機会も数多く設けられています。
このコースを通じて学べること
- ステガノグラフィーの使用など、静的コード解析を妨げるコード難読化技術への対処方法
- プログラムの主要コンポーネントを特定し、メモリ内の多段型マルウェアを解析する方法
- プログラム実行中のシェルコードを特定し、抽出する方法
- マルウェア解析において、バイナリ以外の形式を扱う方法
- PEヘッダーに関連する構造およびフィールドのプロービング
- WinDBG Preview を使用して、メモリ内の主要なプロセスデータ構造をデバッグおよび評価する方法
- ファイルの暗号化と鍵の保護に使用されるランサムウェアの暗号化アルゴリズムを特定する方法
- 暗号化を促進するWindowsのAPIを認識し、その目的を明確にする方法
- Pythonスクリプトを作成し、データ抽出を自動化する方法
- DBI(Dynamic Binary Instrumentation)フレームワークを使用して、一般的なリバースエンジニアリングワークフローを自動化することがする方法
- Ghidra内でスクリプトを記述し、コード解析を円滑にする方法
- マルウェアサンプルを関連付け、悪意のあるバイナリ間の類似点と相違点を特定し、亜種の進化を追跡する方法
- マルウェアを識別、分類するためのルールの構築方法
配布物
- マルウェア解析・駆除ツールがプリインストールされたWindows 10 VM
- 授業中および授業後に検査の練習を行うためのマルウェアサンプル
- 演習の手順が詳細に記載されたテキストおよびワークブック
ライブストリーミングで、コースの著者であるAnuj Soniによるコースのプレビューを聞くことができます。
https://youtu.be/PrP-zgd2aOU
本講座受講にあたっての前提条件
FOR710は、上級レベルのWindowsリバースエンジニアリングを学習するコースです。本コースは、SANS 「FOR610 Reverse-Engineering Malware」で説明したものと同等の知識およびスキルを有することを前提としています。動作解析、動的コード解析(デバッガの使用など)、静的コード解析(逆アセンブルされた実行コンテンツの解析など)を少なくとも6ヶ月以上行った経験があることが望ましいです。この機能に馴染みがない場合は、Anuj Soniによる簡単なイントロダクションをご覧ください。
