ニュースレター登録
資料ダウンロード
お問い合わせ

FORENSICS 508

Advanced Incident Response, Threat Hunting, and Digital Forensics

Digital Forensics and Incident Response

English
日程

2026年3月2日(月)~2026年3月7日(土)

期間
6日間
講義時間

1日目: 9:00-17:30
2日目~6日目: 9:30-17:30

受講スタイル
Live Online
会場

オンライン

GIAC認定資格
GCFA
講師
Steve Anson|スティーブ アンソン
SANSプリンシパルインストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
36 Points
受講料

早期割引価格:1,259,500円(税込み 1,385,450円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

通常価格:1,334,500円(税込み 1,467,950円)

申込締切日
早期割引価格:2026年1月16日(金)
通常価格:2026年2月20日(金)
オプション
  • GIAC試験 価格:149,850円(税込み 164,835円)
  • OnDemand 価格:149,850円(税込み 164,835円)
  • NetWars Continuous 価格:266,250円(税込み 292,875円)

※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※コース本体のお申込み後にGIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)を申し受けます。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
※お申込み締切後にGIAC試験を追加する場合は、こちらのページ(英語)をご参照のうえ、GIACへ直接お申込みください。なお、コース本体とセットでお申込みいただいた場合は特典として模擬試験2回分が付きますが、GIACへ直接お申込みの場合は模擬試験2回分の特典はございません(別途購入可能)

以下の「お申し込み」を押すと、NRIセキュアのお申し込みサイトに遷移します。

お申込み

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

FOR508 PC設定詳細

次の手順に沿って設定されたノートPCをご準備ください。

このコースを受講するには、適切に構成されたシステムが必要です。これらの指示を注意深く読み、従わないと、コースの実践的な演習に完全に参加することはできません。そのため、指定された要件をすべて満たしたシステムを持ってお越しください。

受講前にシステムをバックアップしてください。機密データ/重要なデータが保存されていないシステムを使用することを推奨します。SANS は、受講者のシステムやデータに対して一切責任を負いません。

システムハードウェア要件

  • CPU: 64 ビット Intel i5/i7 (第 8 世代以降)、または 同等のAMDプロセッサ。このコースでは、x64 ビット、2.0GHz以上のプロセッサが必須です。
  • 重要: Apple Silicon デバイスは必要な仮想化を実行できないため、このコースでは使用できません。
  • BIOS 設定で「Intel-VTx」や「AMD-V」拡張機能などの仮想化テクノロジーを有効にする必要があります。変更が必要な場合に備えて、BIOSがパスワードで保護されている場合は必ずアクセスできることを確認してください。
  • 16GB以上のRAMが必要です。
  • 350GB以上の空きストレージ容量が必要です。
  • USB 3.0 Type-A ポートが少なくとも1つは必要です。新しいノートパソコンには、Type-C - Type-A 変換アダプターが必要になる場合があります。一部のエンドポイントプロテクションソフトウェアでは USB デバイスの使用を妨げるため、受講前に USB ドライブのシステムをテストしてください。
  • 無線ネットワーク(802.11規格)が必要です。会場には有線インターネットアクセスはありません。

ソフトウェア要件

  • ホストオペレーティングシステムは、Windows 10、Windows 11、または macOSの最新バージョンである必要があります(IntelベースのMacのみ)。
  • 受講前にホストオペレーティングシステムを完全に更新して、適切なドライバーとパッチがインストールされていることを確認してください。
  • Linuxホストは、バリエーションが多数あるため、このコースではサポートされていません。ホストとして Linux を使用することを選択した場合は、コース教材や VM と連携するように Linux を構成するのは受講生の責任となります。
  • ローカル管理者アクセスが必要です。(これは絶対に必要です。IT チームから許可を得られない場合は許可しないでください。会社がコース期間中このアクセスを許可しない場合は、別のノートパソコンを持参する手配をする必要があります。)
  • ウイルス対策ソフトウェアまたはエンドポイントプロテクションソフトウェアが無効になっているか、完全に削除されているか、または管理者権限を持っていることを確認してください。このコースの多くは、オペレーティングシステムへの完全な管理者アクセスを必要とし、これらの製品が原因でラボを完了できない場合があります。
  • 出力トラフィックのフィルタリングにより、コースのラボを実施できない場合があります。ファイアウォールを無効にするか、無効化するための管理者権限が必要です。
  • 講座開始前に、Windowsホストの場合はVMware Workstation Proの最新バージョン、IntelベースのmacOSホストの場合はVMware Fusion Proの最新バージョンをダウンロードしてインストールしてください。Workstation ProFusion Proは、Broadcomから個人および商用利用の両方で無料提供されています。
  • Windowsホストでは、VMware製品は Hyper-V ハイパーバイザーと共存しない場合があります。最適なエクスペリエンスを得るには、VMwareが仮想マシンを起動できることを確認してください。これには、Hyper-Vを無効にする必要がある場合があります。Hyper-VDevice GuardCredential Guardを無効にする手順は、コース教材に付属のセットアップドキュメントに記載されています。
  • 7-Zip(Windows ホストの場合) またはKeka(macOS ホストの場合)をダウンロードしてインストールしてください。これらのツールは、ダウンロードしたコース教材にも含まれています。

コースメディアはダウンロードで配信されます。講座で使用するメディアファイルは大きく4050GBです。ダウンロードが完了するまで、十分な時間を確保してください。インターネット接続と速度は大きく異なり、さまざまな要因によって左右されます。そのため、教材のダウンロードにかかる時間の見積もりを概算することはできません。リンクを取得したらすぐにコースメディアのダウンロードを開始してください。講座初日からすぐ必要になります。これらのファイルのダウンロードは受講前日の夜まで待たずに開始してください。

コース教材には、「セットアップ手順」ドキュメントが含まれており、ライブ講座への参加、オンラインクラスを受講開始する前に実行する必要がある重要な手順が詳細に説明されています。これらの手順を完了するには、30分以上かかる場合があります。

講座では、ラボの指示に電子ワークブックを使用しています。この新しい環境では、コースラボに取り組んでいる間、教材を見やすくするために、2台目のモニターやタブレット端末があると便利です。

ノートパソコンの仕様について、ご質問がある場合は、カスタマーサービスにお問い合わせください。

FOR508 コース概要

脅威ハンティングとインシデント対応の戦術と手順は急速に進化し続けています。侵害されたシステムを適切に特定できない、侵害を効果的に封じ込めることができない、最終的にはインシデントの迅速な修復やランサムウェアの拡散を阻止できないような、時代遅れのインシデント対応トレーニングや脅威ハンティングトレーニング手法をもはやチームに残すことはできません。インシデント対応チームと脅威ハンティングチームは、マルウェアの兆候と活動パターンを特定・観察し、現在および将来の侵入を検知するために使用できる正確な脅威インテリジェンスを生成するための鍵となります。この徹底的なインシデント対応トレーニングと脅威ハンティングトレーニングコースは、対応者と脅威ハンティングチームに、Microsoft Windowsベースの企業ネットワークにおけるAPT攻撃、国家支援型攻撃、組織犯罪シンジケート、ランサムウェア運用者、ハクティビストなど、幅広い脅威の追跡、特定、対策、復旧を行うための高度なスキルを提供します。このコースは、高度な侵入の検知と対応における実践的なスキルを認定するGCFA認定資格(GIAC認定フォレンジックアナリスト)取得のための主要な準備コースとしても機能します。
FOR508:高度なインシデント対応と脅威ハンティングのトレーニングでは、以下のことができるようになります。
  • 攻撃者の手口を理解し、侵害評価を行う
  • 侵害の発生経路と発生時期を特定する
  • 侵害を受けたシステムや感染システムを迅速に特定する
  • 被害状況を評価し、アクセス、盗難、変更された内容を特定する
  • インシデントの封じ込めと修復を行う
  • 攻撃者を追跡し、脅威インテリジェンスを構築してネットワークの調査を行う
  • 攻撃者の手法に関する知識を活用し、さらなる侵害を特定する
  • アンチフォレンジックやデータ隠蔽手法に対抗するための高度なフォレンジックスキルを習得する
この実践的なインシデント対応トレーニングは、現実世界の攻撃を封じ込め、排除するために必要なプロセスとマインドセットを習得するように設計されています。また、デジタルフォレンジックとインシデント対応の分野で業界から高い評価を得ている資格であるGCFA認定資格の取得に必要なスキルとテクニックを強化します。
  • フェーズ1 - ペイシェントゼロ侵害とマルウェアC2ビーコンのインストール
  • フェーズ2 - 権限昇格、他システムへのラテラルムーブメント、マルウェアユーティリティのダウンロード、追加ビーコンのインストール、ドメイン管理者の認証情報の取得
  • フェーズ3 - 知的財産の検索、ネットワークプロファイリング、ビジネスメール詐欺、アカウント認証情報のダンプ
  • フェーズ4 - 流出ポイントの特定、窃取のためのデータ収集と準備
  • フェーズ5 - クリーンアップの実行と長期的な持続性メカニズムの設定(このフェーズはランサムウェアの展開にも使用される)
侵害が発生した場合のため、FOR508の卒業生は以下のスキルを習得します。
  • 攻撃の発生方法と発生日時の検出
  • 侵害および感染システムの迅速な特定
  • 被害評価を実施し、読み取られた内容、盗まれた内容、または変更された内容の特定
  • インシデントの封じ込めと修復
  • 攻撃者に関する知識を活用し、さらなる侵害を追跡

受講対象者

  • APTグループや高度な攻撃者による複雑なセキュリティインシデント/侵入に定期的に対応し、企業内のエンドポイント全体における侵害されたシステムの検出、調査、修復、復旧方法を理解する必要があるインシデント対応チームメンバー
  • 脅威をより深く理解し、脅威から学ぶことで、より効果的に脅威をハンティングし、その技術に対抗する方法を模索している脅威ハンター
  • アラートをより深く理解し、イベントのトリアージに必要なスキルを習得し、高度なエンドポイント検出・対応(EDR)機能を最大限に活用したいと考えているSOCアナリスト
  • メモリおよびタイムラインフォレンジック、高度な技術を持つ人物の調査、インシデント対応戦術、高度な侵入調査に関する理解を深めたいと考えている経験豊富なデジタルフォレンジックアナリスト
  • より効果的な侵入検知メカニズムを構築するために、攻撃者の技術をより深く理解する必要がある検知エンジニア
  • データ侵害インシデントや侵入への対応を直接支援する情報セキュリティ専門家
  • 高度な侵入調査とインシデント対応を習得し、従来のホストベースのデジタルフォレンジックを超えた調査スキルを習得したい連邦捜査官および法執行機関の専門家
  • 敵が自分の行動を特定する方法、よくあるミスがリモートシステムでの運用を危険にさらす原因、そしてそれらのミスを回避する方法を学びたいと考えているレッドチームメンバー、ペネトレーションテスター、エクスプロイト開発者
    このコースでは、エクスプロイト後の運用手順やエクスプロイトテストに簡単に統合できるリモートシステムフォレンジックとデータ収集手法を網羅しています。
  • SANS FOR500およびSEC504の修了者で、スキルを次のレベルに引き上げたいと考えている方

シラバス

  • DAY1
  • DAY2
  • DAY3
  • DAY4
  • DAY5
  • DAY6

高度なインシデント対応と脅威ハンティング

まず、高度な脅威グループへのインシデント対応に適用される6段階のインシデント対応方法論を検証します。攻撃者の目的に影響を与えるためのサイバー脅威インテリジェンス開発の重要性について議論し、単一システムと企業全体のシステムの両方に適用できるフォレンジックライブレスポンス手法を実演します。

取り上げられるトピック

  • 実際のインシデント対応戦術
  • 企業における脅威ハンティング
  • 企業全体におけるインシデント対応とハンティング
  • マルウェア防御の回避と持続性の特定
  • 認証情報窃取の防止と軽減

 ラボ

  • APTインシデント対応シナリオの概要
  • マルウェア持続性の検出と分析
  • ローカルおよびリモートトリアージ証拠画像の作成
  • リモートエンドポイントインシデント対応の拡張

概要

攻撃者による攻撃に対して優位に立つ方法はいくつかあります。それは、適切な考え方と効果的な方法を知ることから始まります。
過去10年間は、ネットワーク防御担当者にとって厳しい時代でした。現代の企業に対する脅威は数多く存在し、攻撃者は企業ネットワークが非常に複雑であることを悪用して攻撃を仕掛けてきていました。しかし、状況は変わりつつあります。この10年で、組織に対する高度な攻撃が劇的に増加し続けています。国家が支援する攻撃者、いわゆる「高度な持続的脅威(APT)」の抑制は困難を極めています。世界各地から大規模な金融攻撃が仕掛けられ、数十億ドル規模の損失が発生しています。ランサムウェアや恐喝は、一夜にして企業存亡を脅かす脅威となりました。不利な状況に立たされているにもかかわらず、優秀なセキュリティチームは、これらの脅威を管理・軽減できることを証明しています。FOR508は、こうした苦労して得た教訓を教育現場に活かすことを目的としています。
攻撃を検知・軽減するには、攻撃を理解することが不可欠です。このコースでは初日から攻撃者の手口に関する教育を開始し、一般的なマルウェアや攻撃の特徴を学び、ネットワーク内での持続性を維持するために攻撃者が使用する手口を深く掘り下げます。パーシスタンスは通常、攻撃サイクルの早い段階で完了するため、受講者はネットワークを監査し、早期発見を実現するためのハンティング手法を学びます。特に、Living off the landバイナリ(ほとんどの環境で利用可能なローカルツール)、PowerShellWMIベースの攻撃は、高度な攻撃者の標準的な操作手順となっており、受講者は大規模な攻撃を特定するためのツールと手法を徹底的に訓練します。最後に、Microsoft認証情報について詳細に説明します。現代の企業における認証情報の複雑さは計り知れず、認証情報はあらゆるネットワークに存在する最大の脆弱性です。認証情報を狙うために使用されるツールと手法を理解することで、受講者はこれらの壊滅的な攻撃を防御、検出、軽減する方法を学びます。

ラボの詳細

  • APTインシデント対応シナリオの紹介
  • マルウェアの持続的検知と分析
  • KAPEを使用したローカルおよびリモートのトリアージ証拠画像の作成
  • Velociraptorを使用したリモートエンドポイントのインシデント対応、ハンティング、分析の拡張

トピックの詳細

  • 実際のインシデント対応戦術
    • 準備:インシデント対応チームが侵入に適切に対応するために必要な主要ツール、手法、手順を準備する
    • 識別/スコープ設定:インシデントの適切なスコープ設定と、企業内のすべての侵害されたシステムの検出をする
    • 封じ込め/インテリジェンス開発:脅威インテリジェンスを開発するために、アクセス制限、監視、攻撃者に関して学ぶ
    • 根絶/修復:現在のインシデントを阻止し、リアルタイムの修復に移行するために必要な主要な手順を決定し、実行する
    • 復旧:インシデントにつながるシステム上の脆弱性に対処する
    • 教訓/脅威インテリジェンスの活用:発見されたTTPを活用し、将来的に同様の侵入を継続的に追跡・検出する
  • 脅威ハンティング
    • ハンティングとリアクティブ対応
    • インテリジェンス主導のインシデント対応
    • 継続的なインシデント対応/脅威ハンティング能力の構築
    • エンドポイント全体におけるフォレンジック分析と脅威ハンティング
    • 脅威ハンティングチームの役割
    • ATT&CK - MITREの敵対的戦術、手法、および共通知識
  • マルウェア
    • 侵害されたシステムの特定
    • アクティブおよび休止状態にあるマルウェアの検出
    • コード署名のためのデジタル署名
    • マルウェアの特性
    • 一般的な潜伏および永続化メカニズム
    • 正常な動作を理解することによる悪意のあるマルウェアの検出
    • 組み込みコマンド(「環境寄生型」)およびサードパーティ製ユーティリティの悪用
  • 企業全体のインシデント対応とハンティング
    • 迅速な対応ツールソリューション
    • PowerShellリモート処理
    • PowerShellリモート処理による認証情報の保護
    • Kansa PowerShellリモート処理IRフレームワーク
    • KAPEトリアージ収集ツール
    • Velociraptorインシデント対応プラットフォーム
  • マルウェアの永続化特定
    • 自動起動場所、RunKeys
    • サービスの作成/置換
    • サービス障害からの回復
    • スケジュールされたタスク
    • DLLハイジャック攻撃
    • WMIイベントコンシューマー
  • 認証情報盗難の防止、検出、および軽減
    • Pass-the-Hash
    • トークン盗難
    • キャッシュされた認証情報
    • LSAシークレット
    • NTLM攻撃
    • Kerberos攻撃
    • ゴールデンチケット
    • Kerberoasting
    • DCSync
    • NTDS.DIT​ 盗難
    • BloodhoundおよびActive Directory グラフ化
    • MimikatzMetasploitなどによる認証情報攻撃
    • 技術的およびアーキテクチャ的な軽減手法析

侵入分析

セクション2では、一般的な攻撃者の手口を解説し、企業内で悪意のある活動を特定するために使用できる様々なデータソースとフォレンジックツールについて説明します。さあ、ハンティングの準備をしましょう。

 取り上げられるトピック

  • 高度な実行証拠の検出
  • ラテラルムーブメントにおける攻撃者の戦術と手法
  • インシデント対応者とハンターのためのログ分析
  • WMIおよびPowerShellベースの攻撃の調査

ラボ

  • 大規模な実行証拠のハンティングと検出
  • 資格情報不正使用の検出
  • ラテラルムーブメントの追跡
  • WMIおよびPowerShellの悪用行為のハンティング
  • Microsoft Defenderログ分析

概要

最も高度な攻撃者でさえ、あらゆる場所に痕跡を残します。最高のハンターの秘密を学びましょう。
サイバーディフェンダーは、ネットワーク内の攻撃者の活動を識別、ハンティング、追跡するために、多種多様なツールとアーティファクトを所有しています。攻撃者たちの行動はそれぞれアーティファクトを残します。そして、何が足跡として残されているのかを理解することは、レッドチームとブルーチームのメンバーにとって非常に重要です。攻撃には予測可能なパターンがあるため、私たちはそのパターンの不変部分を重点的に調査します。例えば、攻撃者は目的を達成するために、ある時点でコードを実行する必要があります。このアクティビティは、アプリケーション実行アーティファクトによって特定できます。攻撃者はコードを実行するために、1つ以上のアカウントを必要とします。したがって、アカウント監査は悪意のあるアクティビティを特定するための強力な手段となります。

ラボの詳細

  • PrefetchShimcacheAmcache を用いた大規模な実行証拠の探索と検出
  • イベントログの収集と分析による認証情報の不正利用の検出
  • イベントログ分析によるラテラルムーブメントの追跡
  • WMIPowerShellの悪用行為の探索
  • Microsoft Defenderログ分析

トピックの詳細

  • 高度な実行証拠の検出
    • プロセス実行を通じて観察される攻撃者の戦術、手法、および手順(TTP)
    • プリフェッチ分析
    • アプリケーション互換性キャッシュ(ShimCache)
    • Amcacheレジストリの調査
    • ShimCacheAmcacheの調査の拡張
  • ラテラルムーブメントにおける攻撃者の戦術、手法、および手順(TTP)
  • 認証情報の侵害手法
    • リモートデスクトップサービスの悪用
    • Windows Admin Shareの不正利用
    • PsExecCobalt Strike BeaconPsExecアクティビティ
    • Windowsリモート管理ツールのテクニック
    • PowerShellリモート処理/WMICハッキング
    • Cobalt Strikeのラテラルムーブメントと認証情報の利用
    • 脆弱性の悪用
  • インシデント対応者とインシデントハンターのためのログ分析
    • アカウントの使用状況とログオンのプロファイリング
    • ラテラルムーブメントの追跡とハンティング
    • 不審なサービスの特定
    • 不正アプリケーションのインストールの検出
    • マルウェア実行の検出とプロセス追跡
    • コマンドラインとスクリプトのキャプチャ
    • アンチフォレンジックとイベントログの消去
  • WMIおよびPowerShellベースの攻撃の調査
    • WMIの概要
    • キルチェーン全体にわたるWMI攻撃
    • WMIリポジトリの監査
    • WMIファイルシステムとレジストリの残余
    • コマンドライン分析とWMIアクティビティのログ記録
    • PowerShellトランスクリプトとScriptBlockのログ記録
    • Cobalt Strike BeaconPowerShellインポートアクティビティの検出
    • Cobalt StrikeMetasploitEmpireからのPowerShellインジェクションの検出
    • PowerShellスクリプトの難読化
    • Microsoft Defenderのログ、検出履歴、MPLog分析

インシデント対応と脅威ハンティングにおけるメモリフォレンジック

​​セクション3では、利用可能な最も強力なメモリ分析機能の多くを取り上げ、使用するツールセットに関わらず、調査を強力に推進するための高度なメモリフォレンジックスキルの確固たる基盤をアナリストに提供します。

取り上げられるトピック

  • エンドポイント検知と対応
  • ​​メモリ取得とフォレンジック分析
  • メモリフォレンジック調査
  • メモリ分析ツール

ラボ

  • メモリ内のカスタムマルウェアの検出
  • Windowsプロセスツリーの調査
  • 高度な「ビーコン」マルウェアの検出
  • 高度なマルウェア隠蔽手法の特定
  • 複数の感染システムのメモリ分析

概要

メモリ分析の使用は、時に不正行為のように感じることがあります。アクティブな攻撃の検出は、これほど容易であってはなりません。
メモリフォレンジックは、わずか数年で大きく進歩しました。現在では、多くの高度なツールスイート(特にEDR)の重要なコンポーネントであり、インシデント対応および脅威ハンティングチームの成功を支える柱となっています。メモリフォレンジックは、標的型攻撃者が使用するワーム、ルートキット、PowerShell攻撃、ランサムウェアの前駆プログラム、そして高度なマルウェアの証拠発見に非常に効果的です。実際、ファイルレス攻撃の中には、メモリ分析なしでは解明がほぼ不可能なものもあります。メモリ分析は従来、Windows内部の専門家やリバースエンジニアの領域でしたが、新しいツール、手法、そして検出ヒューリスティックの登場により、その範囲は大きく広がり、今日ではすべての調査担当者、インシデント対応担当者、そして脅威ハンターが利用できるようになりました。さらに、メモリ内の攻撃パターンを理解することは、幅広いエンドポイント検出・対応(EDR)製品に適用できる中核的なアナリストスキルであり、これらのツールの有効性をさらに高めています。

ラボの詳細

  • 企業環境内の複数のシステムにおけるメモリ内に潜む、活動中および休眠状態の未知のカスタムマルウェアを検出
  • Windowsプロセスツリーを解析し、正常と異常を識別
  • 標的型攻撃者がコマンドアンドコントロール(C2)チャネルにアクセスするために使用する一般的なポートを介して、高度な「ビーコン」マルウェアの検出
  • メモリ内の文字列をスキャンし、コマンド履歴バッファデータを抽出することで、攻撃者の残存コマンドラインアクティビティを検出
  • 暗号化されたアーカイブやリムーバブルメディアから開かれたファイルを含む、メモリからキャッシュされたファイルを抽出
  • MFTWindowsレジストリのキャッシュバージョンを活用し、メモリイメージのみを使用して従来のフォレンジック分析を実行
  • 最低発生頻度スタッキング手法を用いて、侵害されたシステムメモリをベースラインシステムとの比較
  • コードインジェクションやルートキットなどの高度なマルウェア隠蔽手法の特定
  • 脆弱なドライバー持​​ち込み(BYOVD)攻撃とその検出方法の理解
  • 侵害の兆候(IOC)を用いて分析を自動化
  • 感染システムのメモリ分析:
    • Stuxnet
    • TDL3/ TDSS
    • CozyDuke APT29 RAT
    • Rundll32Living Off the Landの実行
    • Zeus/Zbot/Zloader
    • Amadey
    • Emotet
    • SolarMarker/Jupyter
    • Black Energy ルートキット
    • WMIPowerShell
    • Cobalt StrikeビーコンとPowerpick
    • Cobalt Strike犠牲プロセス
    • Metasploit Meterpreter
    • カスタムAPTコマンド&コントロールマルウェア

トピックの詳細

  • エンドポイント検出および対応 (EDR)
    • EDRの機能と課題
    • EDRとメモリフォレンジック
  • メモリ取得
    • システムメモリの取得
    • 休止状態とページファイルメモリの抽出と変換
    • 仮想マシンのメモリ取得
    • Windows 10および11におけるメモリの変更
  • 対応とハンティングのためのメモリフォレンジック分析プロセス
    • 一般的なWindowsサービスとプロセスの理解
    • 不正プロセスの特定
    • プロセスオブジェクトの分析
    • ネットワークアーティファクトの確認
    • コードインジェクションの証拠の探索
    • ドライバーの監査とルートキット検出
    • 疑わしいプロセスとドライバーのダンプ
  • メモリフォレンジック調査
    • ライブメモリフォレンジック
    • Volatilityを使用したメモリ分析
    • プロセスツリー分析によるWebshel​​l検出
    • メモリ内のコード インジェクション、マルウェア、ルートキットの検出
    • MemProcFSを使用した高度なメモリフォレンジック
    • WMIおよびPowerShellプロセスの異常
    • メモリ常駐の攻撃者のコマンドラインの抽出
    • Windowsサービスの調査
    • 比較ベースラインシステムを使用したマルウェアの検出
    • RAMからキャッシュされたファイルの検索とダンプ
  • メモリ分析ツール
    • Velociraptor
    • Volatility
    • MemProcFS

タイムライン分析

このセクションでは、高度なインシデント対応、脅威ハンティング、フォレンジックケースで使用されるタイムラインの構築と分析における2つの主要な手法を段階的に説明します。演習では、アナリストがタイムラインを作成する方法と、ケースでタイムラインを効果的に活用するために必要な主要な分析手法を紹介します。

取り上げられるトピック

  • マルウェア検出とフィールドトリアージ
  • タイムライン分析の概要
  • ファイルシステムタイムラインの作成と分析
  • スーパータイムラインの作成と分析

ラボ

  • マルウェア検出
  • スーパータイムライン分析による攻撃者の活動追跡
  • システムにおける攻撃者の動きの観察
  • 侵入の根本原因の特定

概要

タイムライン分析は、デジタルフォレンジック、脅威ハンティング、インシデント対応へのアプローチを根本的に変えるでしょう。
時間データはコンピュータシステムのあらゆる場所に存在します。ファイルシステムの変更/アクセス/作成/変更時刻、ログファイル、ネットワークデータ、レジストリデータ、ブラウザ履歴ファイルなど、あらゆる場所に時間データは含まれており、それらを相関分析することで、迅速な事件を解決に役立てることができます。 2001年にRob Lee氏によって開発されたタイムライン分析は、インシデント対応、ハンティング、そしてフォレンジックにおいて重要な手法へと成長しました。新しいタイムライン分析フレームワークは、多数のシステムと多数のフォレンジックアーティファクトを同時に調査する手段を提供します。かつては数日かかっていた分析が、今では数分で完了します。

ラボの詳細

  • マルウェアを発見し、高度な分析を行うための様々なツールを活用する
  • タイムライン分析を用いて、APTグループのマルウェアの痕跡、ラテラルムーブメント、パーシスタンスを探索することで、攻撃者の活動を追跡する
  • 高度な攻撃者がネットワーク内で移動し、その存在を維持するために使用する、隠蔽されたタイムスタンプ型のマルウェアやユーティリティをターゲットにする
  • 詳細なスーパータイムライン分析を通じて、高度な攻撃者の行動を秒単位で追跡する
  • ファイルシステムの時間、レジストリ、イベントログ、shimcache、その他の時間ベースのアーティファクトに残された痕跡を監視することで、攻撃者が企業内の他のシステムにラテラルムーブメントを行う様子を観察する
  • 侵入の根本原因を特定する
  • システムアーティファクト、ファイルシステム、レジストリのタイムラインをフィルタリングして、最も重要なデータソースを効率的にターゲットにする方法を学習する

トピックの詳細

  • マルウェアの検出
    • エントロピーとシグネチャ分析による不審なプロセスの特定
    • アンチウイルス内に隔離した悪意のあるファイルの復元
    • YARAを用いたマルウェア分類
    • Capaを用いた悪意のあるバイナリの確認
  • タイムライン分析の概要
    • タイムラインのメリット
    • 前提知識
    • ピボットポイントの特定
    • タイムラインのコンテキストヒント
    • タイムライン分析プロセス
  • ファイルシステムタイムラインの作成と分析
    • MACBタイムスタンプ
    • Windowsの時間ルール(ファイルのコピーとファイルの移動)
    • SleuthkitflsMFTECmdを使用したファイルシステムタイムラインの作成
    • mactimeツールを使用したボディファイルの分析とフィルタリング
  • スーパータイムラインの作成と分析
    • スーパータイムラインのアーティファクトルール
    • プログラム実行、ファイル知識、ファイルのオープン、ファイルの削除
    • log2timeline/Plasoを使用したタイムラインの作成
    • log2timeline/Plasoコンポーネント
    • psortを使用したスーパータイムラインのフィルタリング
    • ターゲットを絞ったスーパータイムラインの作成
    • スーパータイムライン分析テクニック
    • Elastic Search (ELK) によるスーパータイムライン分析のスケーリング

企業全体におけるインシデント対応とハンティング | 高度な攻撃者検知とアンチフォレンジック対策

セクション5では、調査に必要なファイル、ファイルフラグメント、ファイルメタデータの復元に焦点を当てます。これらのトレースアーティファクトは、アナリストが削除されたログ、攻撃ツール、マルウェア設定情報、盗み出されたデータなどを検出するのに役立ちます。侵入事例に非常に関連していますが、これらの手法はほぼすべてのフォレンジック調査に適用できます。

取り上げられるトピック

  • ボリュームシャドウコピー分析
  • 高度なNTFSファイルシステム戦術
  • 高度な証拠復旧

ラボ

  • ボリュームシャドウスナップショット分析
  • タイムライン
  • NTFSを使用したアンチフォレンジック分析
  • タイムストンプ識別
  • 高度なデータ復旧

概要

高度な攻撃者は常に進化を続けています。私たちもそれに追いつく必要があります。
攻撃者は、侵害したシステム上で自身の存在を隠すための対策を講じることがよくあります。アンチフォレンジック対策の中には比較的簡単に検出できるものもありますが、対処が非常に困難なものもあります。そのため、フォレンジック専門家やインシデント対応者は、重要な残留証拠を明らかにできるオペレーティングシステムとファイルシステムのさまざまな側面について知識を持っていることが重要です。

ラボの詳細

  • ボリュームシャドウスナップショット分析
  • ボリュームシャドウスナップショットデータを組み込んだタイムライン
  • NTFSファイルシステムコンポーネントを使用したアンチフォレンジック分析
  • タイムストンプによる識別と不審なファイルの検出
  • レコードカービングと削除されたボリュームシャドウコピーの回復による高度なデータ復旧

トピックスの詳細

  • ボリュームシャドウコピー分析
    • ボリュームシャドウコピーサービス
    • ボリュームスナップショット内の履歴データへのアクセスオプション
    • vshadowmountを使用したシャドウコピーへのアクセス
    • ボリュームシャドウコピーのタイムライン
  • 高度なNTFSファイルシステム戦術
    • NTFSファイルシステム分析
    • マスターファイルテーブル(MFT)の重要な領域
    • NTFSシステムファイル
    • NTFSメタデータ属性
    • $StdInfoおよび$FilenameWindowsタイムスタンプのルール
    • タイムスタンプ操作の検出
    • 常駐ファイルと非常駐ファイル
    • 代替データストリーム
    • NTFSディレクトリ属性
    • B-Treeインデックスの概要とバランス調整
  • $I30インデックスを使用して消去/削除されたファイルを検出
    • ファイルシステムのフライトレコーダー:$Logfile$UsnJrnl
    • ジャーナルにおける一般的なアクティビティパターン
    • ジャーナルにおける便利なフィルターと検索
    • NTFSファイルシステムからデータが削除されるとどうなるか?
  • 高度な証拠回復
    • 一般的なワイパーとプライバシークリーナーのマーカー
    • 削除されたレジストリキー
    • レジストリにおける「ファイルレス」マルウェアの検出
    • ファイルカービング
    • ボリュームシャドウカービング
  • NTFSアーティファクトとイベントログレコードのカービング
    • 効果的な文字列検索
    • アンチフォレンジック対策のためのNTFS構成変更

APT脅威グループ インシデント対応チャレンジ

この非常に充実した、現実的な企業侵入演習では、Windowsエンタープライズ環境全体への実際の侵入事例を用いて、これらすべてを網羅します。システムが最初にどのように侵害されたかを明らかにし、攻撃者のラテラルムーブメントを通じて他の侵害システムを見つけ出し、データ窃取によって盗まれた知的財産を特定することが求められます。

概要

最終的な侵入ラボを解くには、Windows 10および11ワークステーション、DMZサーバー、ドメインコントローラー、社内開発サーバー、ホスト型Exchangeメールなど、30以上のシステム上のアーティファクトを調査する必要があります。このコースでは、高度な脅威との闘いにおいて数十年の経験を持つ講師陣が監修する、実際の攻撃を調査する実践的な経験を積むことができます。

トピックスの詳細

  • 侵入フォレンジックチャレンジでは、多数のエンドポイントを持つ企業ネットワークの複数のシステムを分析する必要があります。
  • ネットワーク全体にわたる攻撃者の行動を特定・追跡し、初期のエクスプロイト、偵察、パーシスタンス、認証情報のダンプ、ラテラルムーブメント、ドメイン管理者への昇格、データの窃取/流出を発見する方法を学びます。
  • チームベースのインシデント対応アプローチを目の当たりにし、参加します。
  • Cobalt StrikeSliverCovenant、リモート監視・管理(RMM)ツール、PowerShellエクスプロイトフレームワーク、国家主導のカスタムマルウェアなど、現在最も一般的かつ高度な攻撃の証拠を発見します。
  • チャレンジ中、各インシデント対応者は、組織内で実際に侵入が発生した場合と同様に、以下の各カテゴリにおける重要な質問に回答し、重要な問題に対処することが求められます。
識別とスコープ設定:
  • ネットワークはいつ、どのように侵入されましたか?「最初の感染者」となるシステムはどれですか?
  • 最初の感染はどのように発生し、攻撃者に足掛かりを与えましたか?どのような種類のエクスプロイトが使用されましたか?
  • 攻撃者はいつ、どのようにして各システムにラテラルムーブメントしましたか?
  • 攻撃者の主要および二次的なコマンド&コントロールバックドアは何でしたか?
封じ込めと脅威インテリジェンスの収集:
  • 攻撃者はいつ、どのようにしてドメイン管理者の認証情報を入手しましたか?
  • 攻撃者は各システムで何を探しましたか?
  • 被害評価:どのようなデータが盗まれましたか?
  • 被害評価:メールへのアクセスまたは盗難はありましたか?
  • アンチフォレンジック活動の証拠は発見されましたか?
  • 攻撃者はクラウドコンピューティングリソースやクラウドストレージデータなどのクラウドベースのリソースにアクセスできましたか?
  • 脅威インテリジェンス:ホストベースおよびネットワークの侵害指標をカタログ化します。
修復と復旧:
  • どの程度のレベルのアカウント侵害が発生しましたか?修復中にパスワードの完全なリセットは必要ですか?
  • インシデント中に発見された攻撃者の手法とツールに基づいて、このインシデントからの修復と復旧に推奨される手順は何ですか?
  • 再構築が必要なシステムは何ですか?
  • ブロックする必要があるIPアドレスは何ですか?
  • これらの攻撃者が再び現れた場合、その速度を遅らせたり阻止したりするために、どのような対策を講じるべきでしょうか?
  • これらの侵入者をネットワーク内で再び検出するために、どのような推奨事項がありますか?

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。

ニュースレター登録
資料ダウンロード
お問い合わせ