包括的な侵入テストの計画、スコープ設定、偵察、スキャン
セクション1では、マルウェアの相互作用と内部構造を理解するための静的解析、動作解析、コード解析といった基本的なマルウェア解析手法を紹介します。受講者は、WindowsおよびREMnux仮想マシンを用いた柔軟なラボ環境を構築し、講師の指導のもと、これらの解析を効果的に実施します。
取り上げられるトピック
- 効果的なマルウェア解析のためのツールキットの構築
- 疑わしいプログラムの静的特性の調査
- 悪意のあるWindows実行ファイルの動作解析の実行
- 悪意のあるWindows実行ファイルの動的コード解析の実行
- ラボにおけるマルウェアのネットワーク相互作用の調査と追加特性の探索
ラボ
- 動作解析のためのラボの設定と使用
- 悪意のあるネットワークトラフィックの傍受と調査
- 動的解析を用いた悪意のあるアーティファクトのデコード
- x64dbgを用いたマルウェアのデバッグ
- コマンドアンドコントロール(C2)の理解
概要
セクション1では、悪意のあるプログラムの調査に役立つ主要なツールと手法を紹介し、マルウェア分析の基礎を築きます。Windowsマルウェアを複数のフェーズで調査することで、時間を節約する方法を学習します。静的プロパティ分析では、メタデータやその他のファイル属性を検査してトリアージを実行し、次の行動方針を決定します。動作分析では、レジストリ、ファイルシステム、ネットワークなど、プログラムとその環境との相互作用に焦点を当てます。コード分析では、検体の内部動作に焦点を当て、x64bgなどのデバッグツールを活用します。柔軟なラボを構築し、制御された方法でこのような分析を実行する方法を学び、付属のWindowsおよびLinux(REMnux)仮想マシンの使い方を学びます。その後、ラボでマルウェアの調査を開始する方法を学習します。講師からのガイダンスと説明は、一日を通して議論された概念を強化するのに役立ちます。
悪意のあるコードのリバースエンジニアリング
セクション2では、Windows実行ファイルのアセンブリレベル解析について深く掘り下げ、Ghidraなどのツールを用いたマルウェア解析における主要なx86およびx64の概念を学習します。受講者は、実践的な演習を通して、逆アセンブルされたコードの解釈、制御フローの追跡、コマンド&コントロールなどの一般的なマルウェアの特徴の特定方法を習得します。
取り上げられるトピック
- 悪意のあるコード解析のためのx86アセンブリのコア概念の理解
- 逆アセンブラを用いた主要なアセンブリ構造の特定
- プログラムの制御フローの追跡による判断ポイントの理解
- Windows APIレベルでの一般的なマルウェアの特徴の認識
- アセンブリに関する知識の拡張:x64コード解析を含む
ラボ
- Ghidraを用いた悪意のあるコードの静的解析
- 一般的なアセンブリレベルパターンの分析
- アセンブリレベルでのAPIインタラクションの調査
概要
第2セクションでは、悪意のあるWindows実行ファイルをアセンブリレベルで静的に検証することに焦点を当てます。逆アセンブラやデコンパイラを用いて、サンプルの内部構造を調査する方法を学びます。このセクションでは、Ghidraを用いた実践演習を行います。まず、主要なコードリバースエンジニアリングの概念について概説し、マルウェア分析や命令、関数呼び出し、変数、ジャンプといった基本的なx86 Intelアセンブリ概念に関する入門的な側面を実験的に扱います。専門知識を体系化し、拡張するとともに、関数、ループ、条件文といったこの分野で一般的なアセンブリ構造の検証方法を学びます。この教材は、この基礎を基に構築され、64ビットマルウェアへの理解を深めたいと考えている実践者向けの教材です。
このディスカッションを通して、HTTPコマンド&コントロール、アーティファクト抽出、コマンド実行など、コードレベルでの一般的な特性を認識する方法を学習します。
悪意のあるドキュメントとスクリプトの分析
セクション3では、悪意のあるドキュメントとスクリプトの分析、PDFの調査手法、Officeファイル内のVBAマクロ、RTFドキュメント、JavaScriptの難読化解除について解説します。受講者は、脅威の特定、侵害の兆候(IOC)の抽出、そしてこれらのファイル形式におけるシェルコードの機能について学習します。
取り上げられるトピック
- 悪意のあるPDFファイルの分析
- 疑わしいWebサイトの分析
- Microsoft Officeドキュメント内のVBAマクロ
- 悪意のあるRTFファイルの調査
- シェルコードの理解
ラボ
- 疑わしいPDFドキュメントの調査
- 悪意のあるWebサイトの調査
- Microsoft Officeドキュメント内のVBAマクロの分析
- シェルコードのアーティファクトの調査
- JavaScriptとPowerShellの難読化解除
概要
セクション3では、Windowsエコシステムで蔓延するマルウェアのサンプルと手法について考察します。これらは従来の実行ファイルとは異なります。悪意のあるドキュメント(PDF、Microsoft Office、RTFファイル)の分析について解説します。また、疑わしいWebサイトがもたらす脅威を調査する方法についても学びます。さらに、シェルコードの分析、JavaScriptおよびPowerShellスクリプトの処理、.NETマルウェアの調査手法についても紹介します。
トピックの詳細
-
悪意のあるPDFファイルの分析
-
悪意のあるWebサイトの分析
-
Microsoft Officeドキュメント内のVBAマクロ
-
悪意のあるRTFファイルの調査
-
シェルコードの理解
-
悪意のあるJavaScriptスクリプトの難読化解除
-
PowerShellおよび.NETマルウェアの分析
マルウェア分析の徹底
セクション4では、マルウェア分析の高度な手法を深く掘り下げ、.NETや「ファイルレス」の脅威を含む、マルチテクノロジーマルウェアのアンパック、難読化解除、分析に焦点を当てます。受講者は、パッカーの識別、コードインジェクション手法の処理、難読化されたJavaScript、PowerShell、シェルコードの解析方法を学習します。
取り上げられるトピック
- パックされたWindowsマルウェアの認識
- アンパックの開始
- デバッガを使用したパックされたマルウェアのメモリからのダンプ
- マルチテクノロジーおよび「ファイルレス」マルウェアの分析
- .NETマルウェアの分析
ラボ
- アンパックの開始
- パックされたマルウェアのメモリからのダンプ
- パックされたマルウェアのデバッグ
- ファイルレスマルウェアの分析
- .NETアセンブリのアンパックとデコード
概要
セクション4では、コースの前半で紹介した動作分析とコード分析のアプローチを基に、悪意のあるプログラムの機能の新たな側面を明らかにする手法を探求します。このセクションでは、悪意のあるドキュメント、疑わしいWebサイト、その他の攻撃で遭遇する可能性のあるJavaScriptの難読化解除の実践的な手法について解説します。次に、パックされたマルウェアの対処方法を学習します。デバッガなどのユーティリティを用いて、パッカーを識別し、その保護を解除する方法を探ります。また、レジストリ、難読化されたJavaScriptおよびPowerShellスクリプト、シェルコードなど、複数の技術を用いてその本質を隠蔽するマルウェアサンプルを検証します。さらに、難読化またはパックされた.NETマルウェアの分析方法も学習します。最後に、マルウェアがコードインジェクションを実行して検出を回避し、プログラムが環境を認識する方法を妨害する仕組みを学習します。
トピックの詳細
自己防衛型マルウェアの検証
セクション5では、マルウェア作成者が用いる分析回避手法を解説し、回避策の特定と回避、プロセスホロウイングを用いたマルウェアの解析、コードミスディレクションへの対処方法を学習します。このセクションでは、既存の手法を統合・拡張し、実践的な演習を通して、耐性を持つマルウェアの解析スキルを強化します。
取り上げられるトピック
- マルウェアがデバッガを検出し、埋め込みデータを保護する仕組み
- プロセスホロウイングを用いた悪意のあるソフトウェアの解析
- マルウェアによる解析ツールの検出と回避の試みの回避
- SEHやTLSコールバックを含むコードミスディレクション手法への対処
- パッカーの動作を予測して悪意のある実行ファイルを解析
ラボ
- マルウェアにパッチを適用し、分析回避策を回避する
- 埋め込み文字列の難読化解除
- マルウェアのサンドボックス回避能力の検証
- 様々なマルウェアサンプルの解析
概要
セクション5では、マルウェア作成者が悪意のあるソフトウェアの解析を防ぐために一般的に使用する手法を詳しく解説します。動作を遅くしたり、誤った方向に誘導したりするために設計された解析対策を認識し、回避する方法を学習します。その過程で、他のプロセスに解凍またはインジェクションするマルウェアの静的および動的解析を実行する経験を積むことができます。また、マルウェア作成者が悪意のある実行ファイルに埋め込むデータをどのように保護しているかについても理解を深めることができます。コース全体で取り上げる他のトピックと同様に、ハンズオン演習でこれらの手法を試すことができます。このセクションでは、コースの前半で取り上げた多くのツールと手法をまとめて拡張します。
マルウェア分析トーナメント
セクション6では、キャプチャー・ザ・フラッグ・トーナメントを通してマルウェア分析スキルを習得します。実際のマルウェアを用いた実践的な課題が用意されています。この実践的な体験を通して、静的および動的分析、アンパック、そして自己防衛型マルウェアの検証といった主要技術を習得します。
取り上げられるトピック
- マルウェア分析の基礎
- 静的および動的手法を用いた悪意のあるコードのリバースエンジニアリング
- 悪意のあるドキュメントの分析
- アンパックを含む詳細なマルウェア分析
- 自己防衛型マルウェアの検証
概要
セクション6では、コースの前半で学んだマルウェア分析の様々な側面を習得し、実践し、さらに発展させることができます。楽しいトーナメント形式で、現実世界のマルウェアを使った様々な実践的な課題に挑戦します。CTF(キャプチャー・ザ・フラッグ)システムにアクセスし、実践的な課題に挑戦します。ラボでマルウェアを解析することで、これらの課題に取り組みます。システムは必要に応じてガイダンスを提供するため、ご自身のスキルセットやニーズに合わせてゲーム体験を調整できます。このトーナメントを通して、知識を統合し、さらに練習が必要なスキル分野を強化することができます。
