ニュースレター登録
資料ダウンロード
お問い合わせ

FORENSICS 508

Advanced Incident Response, Threat Hunting, and Digital Forensics

Digital Forensics and Incident Response

English
日程

2021年10月25日(月)~10月30日(土)

期間
6日間
講義時間

1日目: 9:00-17:30
2日目~6日目: 9:30-17:30

受講スタイル
Live Online
会場

オンライン

GIAC認定資格
GCFA
講師
Steve Anson|スティーブ アンソン
SANS認定インストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
36 Points
受講料

840,000円(税込み 924,000円)

申込締切日
2021年10月15日(金)
オプション
  • GIAC試験  105,000円(税込み 115,500円)
  • OnDemand  105,000円(税込み 115,500円)
  • NetWars Continuous  190,000円(税込み 209,000円)

※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。

※コース本体のお申し込み後にGIAC試験を追加される場合、事務手数料(10,000円(税込み11,000円))をいただきます。

※GIAC試験はご自身で直接お申し込みいただくことも可能です。こちらのページ(英語)を参照ください。

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

FOR508 PC設定詳細

SANSトレーニングを有意義に受講していただくには要件を満たすノートPCが必須です。次の要件を確認し、事前に必要な設定を完了しておいてください。講義中は設定をする時間はありません。必ず事前の確認・設定をお願いいたします。

注意:実習のためのツール類をインストールすることによって、一部のシステムの動作に支障をきたす可能性があります。また、ネットワークへの接続を伴う実習内容があり、故意過失を問わず、自分のノートコンピュータのデータに他の受講生からアクセスされる可能性もあります。いずれの場合もSANSではデータの破損や読み書きに関して責任をとることはできませんので、重要なデータが格納されているノートPCでの実習はお控えください。

ホストOSは、VMware仮想化ソフトウェアを正常にインストールすることができるWindows、Mac OSX、Linuxのいずれかの64bit版を使用してください。Macの場合、Boot Campを使用して直接Windowsを動かすことをお勧めいたします。演習をするにあたり、VMware Fusionではいくつかの問題が見つかっています。

利用するノートPCのホストOSおよび搭載されているCPUが64bitの動作をサポートしていることを確認してください。使用するゲストOSは64bit版のため、サポート外だと演習が一切行えません。VMwareはWindows、Linux用に、ご利用になるノートPCの環境が64bitのゲストOSを動作させることができるかどうか確認するフリーツールを提供しています。また、こちらのページで、CPUとOSが64bitをサポートしているか確認する方法が説明されていますので参考にしてください。Macユーザーの方は、サポートページをご確認ください。

事前にVMware製品をダウンロードしてインストールしてください。VMware Workstation 15.5VMware Fusion 11.5VMware Workstation Player 15.5以降のバージョンを選択します。
VMware Workstation、VMware Fusionのライセンスを持っていなくても、30日間はフリートライアル期間として利用することができます。VMwareウェブサイトに登録すれば、期限付きのシリアルナンバーが送られてきます。

ノートパソコンのハードウェア要件

  • CPU:Intel i5/i7(第4世代以降) x64 2.0+ GHzプロセッサ以上(64bit必須)
    (M1プロセッサを搭載したApple製システムは、このコースで必要とする仮想化テクノロジーに現時点で対応していないため、利用ができません)
  • RAM:16GB以上(16GB以上のRAMが必須)
  • USB:3.0 Type-Aが必須
  • HDD/SSD:350GB以上の空き容量
  • NW:802.11無線LAN
  • OS:下記要件を満たすOS
    • Windows 10 Pro以上、Mac OSX 10.15以上
    • VMware製品が正常に動くこと
    • フルパッチ適用済、最新に更新済なこと
  • その他:USBメモリの読込ができること
  • その他:ホストOSのローカルアドミニストレーター権限
  • その他:ウィルス対策製品の停止、解除ができること
  • その他:ファイアウォールの停止、設定変更ができること
  • その他:BIOS設定が変更できること
  • その他:ホストOSに7Zipをインストールする
  • 重要事項:SIFT Workstationをダウンロードしないこと。初日にFOR508用に特別に設定したSIFT Workstationを配布

ノートパソコンのソフトウェア要件(下記を事前にインストールしてください)

  1. VMware Workstation 15.5VMware Fusion 11.5VMware Workstation Player 15.5以降のバージョン
  2. 7zip または Keta(Mac OS)

LiveOnlineでのコースメディアの事前準備、テキストについて

コースのメディアがダウンロード版で配信されるようになりました。授業で使用するメディアファイルは大容量で、40~50GBのものもあります。ダウンロードに必要な時間は様々な要因に左右されるため、所要時間を見積もることはできませんが、非常に時間がかかってしまう場合もあります。メールよりダウンロードリンクを取得したら、コースメディアのダウンロードを開始してください。コースメディアは授業初日すぐに必要になります。開始前夜などにダウンロードを開始すると、失敗する可能性が高くなりますので、時間に余裕をもってご準備ください。

SANSでは、PDF形式のテキストの提供を開始しました。さらに、一部のクラスではPDFに加えて電子ブックを使用しています。電子ブックを使用するクラスは今後増えていく予定です。セカンドモニターやタブレット端末を使って、授業の資料を見られるようにしておくと便利です。

配布物の紹介

  • SIFT Workstation
    このコースでは、インシデント・レスポンダーやフォレンジック・アナリストが高度な攻撃にどのように対応・調査するかを学ぶために、SIFTワークステーションを幅広く使用します。
    ・SIFTワークステーションには、何百もの無料およびオープンソースのツールが含まれており、最新のフォレンジックおよびインシデントレスポンスの商用対応ツールスイートに簡単に対応できます。
    ・仮想マシンは、ハンズオン演習の多くで使用されます。
    ・Ubuntu Linux LTSベース
    ・64-bitベースのシステム
    ・Auto-DFIRパッケージの更新やカスタマイズ
    ・最新のフォレンジックツールとテクニック
    ・フォレンジックに取り組むためのVmwareアプリケーションに準拠
    ・LinuxでもWindowsでもどちらも対応可能
    ・様々なファイルシステムもサポート(NTFS, HFS, EXFAT, and more).
  • F-Response Enterprise (Endpoint Collectionが利用可能なもの)
     インシデントレスポンダーがネットワーク経由でリモートシステムやリモートコンピュータの物理メモリにアクセスできるようにするためのものです。
    ・あらゆるインシデントレスポンスやフォレンジックツールに、企業全体で使用できる機能を提供します。
    ・侵入調査やデータ侵害のインシデントレスポンスの状況に最適です。
    ・リモートシステムに展開可能なエージェント。
    ・SIFTワークステーションと互換性があります。
    ・ベンダーに依存せず、どのようなツールでも動作します。
    ・同時調査者数=無制限。
    ・同時展開されるエージェントの数 = 無制限。
    6ヶ月間のライセンスでは、F-Response Enterpriseを職場や家庭の環境で継続して使用することができます。
  • 電子ダウンロードパッケージは以下を含みます:
    ・APT caseイメージ、メモリキャプチャ、SIFT Workstation 3、ツール、ドキュメント。
    ・SANS DFIR APT case  電子版の演習ワークブック
    ・電子版演習のワークブックは250ページ以上あり、インシデントレスポンダーの達人になるための詳細なステップバイステップの手法と例が記載されています。
  • SANS DFIR チートシート:
    実践や授業ででツールを利用するのに役立ちます。

ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください。(英文)

FOR508 コース概要

あなたのネットワークには脅威があります。ハンティングする時がきました!

このコースは、次の項目を理解することに主眼が置かれています。

  • どのようにシステムが侵害されたか
  • どのシステムが侵入されたか
  • どのデータが持ち去られたか。どのデータが改ざんされたか
  • どのようにインシデントに対処し修正したらよいか
  • どのように脅威情報を開発するか
  • 攻撃者の知識を基にどのように他の違反を探索するか

政府機関のエージェントから、あなたの組織の機密情報が標的型攻撃によって侵害されているという連絡を受けましたが、侵害を受けているという事実以外は聞き出すことができませんでした。あなたの組織はどうやら、APTと呼ばれる新しいタイプの攻撃による危険にさらされているようです。

これは、システムやデータを守るためにあなたが直面する最も洗練された脅威であり、このような攻撃者は組織のネットワーク内に何か月も潜伏している可能性があります。上記は仮の話ではありますが、組織のネットワーク内に脅威が潜んでいる可能性は非常に高いです。組織は、セキュリティ上の予防措置がどれほど万全であっても、セキュリティ対策が完璧で侵入される可能性はないとは言い切ることはできません。多くのセキュリティと監視ツールを回避する方法を良く知っている攻撃者に対抗するには、予防システムだけの対策では十分ではありません。

重要なことは、攻撃者が目的を完了し組織に悪影響を与えた後ではなく、セキュリティシステムを通過する攻撃を常に監視して、進行中の侵入行為を捉えることです。このプロセスは、インシデントレスポンダでは脅威のハンティング(Threat hunting)として知られています。脅威のハンティングでは、既に知られている攻撃者の行動を使用して、新しいデータ侵害を特定するためにネットワークとエンドポイントを徹底的に調査します。

脅威のハンティングとインシデントレスポンスにおける戦術と手順は、ここ数年で急速に進化しました。組織のチームは、侵害されたシステムを適切に特定したり、効果的に封じ込めたりすることができず、最終的にはインシデントから迅速に復旧することができない、といった時代遅れのインシデントレスポンスと脅威のハンティングに関する技術を使う余裕はないでしょう。インシデントレスポンスと脅威のハンティングを行うチームは、現在や将来の侵入を検出するために使用する正確な脅威インテリジェンスを生成するために、マルウェアインジケータやアクティビティのパターンを特定し、観察することが重要です。

インシデントレスポンスと脅威のハンティングを徹底的に取り扱うこのコースでは、APTのような国家敵対者や犯罪組織、ハクティビズムなど、企業ネットワーク内の様々な脅威を捕捉、特定、対抗、復旧させる高度なスキルを提供します。本コースは継続的に更新され、精鋭のレスポンダやハンターが現実世界の犯罪に対して、正確に検知、対抗、対応するための、インシデントレスポンスと脅威のハンティングにおける戦術と技術をハンズオンにより提供しています。

このコースでは、現実世界でAPT攻撃により侵入された企業をベースにした演習を用いて、ネットワークをターゲットとするAPTグループの戦略に基づき、SIFTワークステーション上の多くのツールを使用して、課題の解決へと導きます。

侵入と脅威のハンティングの演習では、最初の標的型攻撃の発生場所と攻撃者が複数のシステムに侵入し、どのように横断し動いているかを特定します。これにより、重要なサイバー脅威情報を抽出して作成し、適切な脅威の範囲を特定して、将来の違反を検出するのに役立てることができます。

標的型攻撃では、組織は最高のインシデントレスポンスチームが必要です。本コースでは、組織への侵入やデータ侵害に対して、検出、範囲を特定し、停止できるように受講者を訓練します。

インシデントレスポンスチームを集結させ、ハンティングする時がきました!

本講座受講にあたっての前提

本コースは、コンピュータフォレンジックに関してある程度の知識・スキルをもった方向けのコースです。SANSでは、FOR500(Windows Forensic Analysis)とセットで受講することを前提に作っています。FOR500を先に受講することをお勧めしますが、順番が逆であってもあなたにとって有益な体験となるでしょう。

受講対象者

  • 脅威をより効果的に探索したり、攻撃に対処するために、脅威をより深く学びたい脅威ハンター
  • アラートに関する理解を深め、イベントのトリアージに必要なスキルを構築し、EDR機能を十分に活用しようとしているSOCアナリスト
  • データ侵害や侵入のインシデントに対応する情報セキュリティ担当者
  • インシデントレスポンスチームの一員で、APT組織や先進的なアタッカーからの複雑なインシデントや侵入被害に対応するため、検知および調査し、侵害されたシステムを修正し復旧する一連の方法を知る必要がある方
  • デジタルフォレンジックアナリストの経験者で、ファイルシステムのフォレンジック、高度なアタッカーの調査技術、インシデントレスポンス戦術、APT攻撃に特化した高度な侵入調査などの理解を深め、対応能力を身につけたい方
  • 政府機関や法執行機関などにおいて捜査等に従事しており、先進的な侵入の調査やインシデントレスポンスをマスターして、従来のホストベースのフォレンジックよりも高度な捜査能力を身につけたい方
  • レッドチームメンバー、ペネトレーションテスター、エクスプロイト開発者で、行動がシステムによって検知される原理や事例がどのようなものかを知り、それらを回避する方法を理解したい方。本コースには、エクスプロイトの実施や実施後の操作手順と関連して、リモートシステムのフォレンジックとデータ収集技術も含まれています。
  • FOR500とSEC504を既に受講済みで、更なる技術力の向上を望む方

※FOR508は、GIAC(GCFA)認定試験対象コースです。

講義内容の一例

  • インシデントレスポンスとデジタルフォレンジックを効果的に実行するための様々なオープンソースツールとSIFTワークステーションの高度な使用法
  • 国家が関与する敵対者、組織犯罪、ハクティビストなどの高度な敵に対抗するためのハンティング・レスポンステクニック
  • 侵害を迅速に特定するための脅威ハンティングテクニック
  • 迅速なインシデントレスポンス分析と侵害評価手法
  • インシデントレスポンスと侵入フォレンジックの手法
  • リモート環境を含むエンタープライズインシデントレスポンスシステム分析
  • Windowsライブインシデントレスポンスとトリアージデータのスケーリングコレクション
  • PowerShellやWMIなどを含む「Living of the Land」攻撃の調査と対策
  • インシデントレスポンス・脅威ハンティング中のメモリ解析
  • メモリ解析のスキルをEDRプラットフォームに移行する手法
  • Windowsエンタープライズ認証情報の侵害と保護に関する詳細な手順
  • ラテラルムーブメント(水平展開)の検知と分析手法
  • 迅速かつ詳細なタイムラインの作成と分析
  • 脅威ハンティングとインシデントレスポンスのためのボリュームシャドウコピーのエクスプロイテーション
  • アンチフォレンジックと隠蔽手法の検知
  • 未知のマルウェアの発見手法
  • 脅威インテリジェンスの開発、侵害の指標、およびその使用方法
  • サイバーキルチェーン戦略
  • 侵害事例に調査・対応するための段階的な戦術と手順

 

ハンズオントレーニングの一例

スレッドハンティングやインシデントレスポンスのコミュニティでよく耳にする不満の一つは、現実的な侵入データがないことです。現実の侵入データのほとんどは、機密性が高すぎて共有することができません。
FOR508コースの著者は、標的型APT攻撃に定期的に対応しているレスポンダーのパネルから調査した経験に基づいて、現実的なシナリオを作成しました。レスポンダーにより、シナリオを作成する際に使用された標的型攻撃のスクリプトのレビューや指導をもらい、その結果、複数の企業システムにまたがる、信じられないほど豊かで現実的な攻撃シナリオが作成されました。このAPT攻撃ラボは、1週間のトレーニングの基礎となります。ネットワークは、標準的なコンプライアンスチェックリストを使用して、標準的な「保護された」企業ネットワークに近い形を実現しています。
  • 推奨されている連邦情報セキュリティ管理法のガイドラインに従って、完全監査の状態になっています。
  • Windowsドメインコントローラ(DC)のセットアップと設定については、実際の企業ネットワークで見られるものと同様にハードニングされています。
  • システムには、実際に使われているソフトウエアがインストールされています(Office, Adobe, Skype, Tweetdeck, Email, Dropbox, Firefox, Chrome)
  • パッチが完全に適用されたシステム(パッチは自動的にインストールされています)
  • EDRエージェント
  • 国防総省のホストベースのセキュリティシステムをベースにしたエンタープライズアンチウイルスおよびオンスキャン機能
    • エンドポイントプロテクションソフトは以下の通り
      アンチウイルス、アンチスパイウェア、セーフサーフィン、アンチスパム、デバイスコントロール、オンサイト管理、ホスト侵入防止(HIPS)など
  • ファイアウォールは、Inbound Port 25とOutbound Port25、80、443のみを許可します。
演習では、ホストシステム、システムメモリ、ハイバネーション/ページファイルなどを、実際の攻撃者が残した痕跡を確認するために利用します。

フェーズ 1 - 被害者ゼロに対しての妥協とマルウェア C2 ビーコンのインストール
フェーズ2 - 特権エスカレーション、他のシステムへのラテラルムーブメント、マルウェアユーティリティのダウンロード、追加ビーコンのインストール、ドメイン管理者の資格情報の取得
フェーズ 3 - 知的財産の検索、ネットワークプロファイリング、電子メールのダンプ、エンタープライズハッシュのダンプ
フェーズ 4 - 脱出するためのデータを収集し、ステージング システムにコピー。.rarと複雑なパスフレーズを使用してデータをアーカイブ。
フェーズ 5 - ステージング サーバーから .rar ファイルを削除し、ステージング サーバーでクリーンアップを実行。

コース開発者より

Matt OlneyはAPTと先進的な高度な攻撃者達について、「彼らはあなたより賢く、彼らはあなたよりリソースがあり、そして彼らはあなたの近くにまで迫っている。だから本腰を入れて取り組まなければならないのだ」と述べています。これは、ジョークではありません。何年も前から、犯罪組織のハッカーや国に雇われたハッカーにより何度も犯罪が成功しています。APTにより何百もの組織が侵害されており、組織化された犯罪集団は、ボットネットを使用してACH(米国の小額自動振り込みシステム)に対する詐欺行為を毎日のように行っているばかりか、同じ様な集団が銀行や商社に侵入し、クレジットカード情報を日々盗んでいます。このような背景から、フォーチュン500に選ばれた企業では、年次株主報告書に、侵害され盗まれたデータを詳細に記載することを始めています。

敵は、より賢く、より大胆になっており、成功率は見事なほど高くなっているのです。

敵を食い止めることはできますが、それにはこの領域に長けた洗練されたインシデントレスポンダとデジタルフォレンジック調査員が必要です。APTを検知し、即座に根絶してしまうことが出来る腕利きのデジタルフォレンジックにおける達人を必要としています。訓練されたインシデントレスポンダでも出来るのは、侵害を放置したまま企業を守るぐらいです。本コースでは、このような先進的な攻撃に対抗できるフォレンジックの達人になるための特別な訓練を行います。敵は優秀ですが、それに勝る能力を手に入れることができるでしょう。本コースは、あなたが最高の人物になれるよう支援します。
- Rob Lee

私たちは、大規模で複雑なネットワークに蓄積された想像しがたいデータ量の世界と対峙しています。攻撃者は、この複雑さを利用して防御を切り崩して侵害してくるようになりました。この現状に対してインシデントレスポンスは曲がり角に差し掛かっているのです。古いモデルは、新たな攻撃に対応するため、防御側をより効果的かつ迅速にアップグレードしなければなりません。最も成功したインシデント対応チームは、日々対峙することでますます進化しています。新たなツールや技術が開発され、より良い可視性を提供し、ネットワークをより防御的にします。すると、成功事例はますます多くなり、組織は迅速に侵入を特定し、その問題を改善できるのです。
私は、皆さんをこれらのような成功に導くためにこのコースを作成しました。実務でもそうであるように、コースは継続的に更新されるので、最新の技術がコースにもたらされます。FOR508はインシデントレスポンスの分野だけでなく、すでにハントチームを率いている人にとって、他の経験者から学ぶことを容易にし、さらなるレベルに引き上げるために必要なスキルを支援します。
- Chad Tilbury-

  • DAY1
  • DAY2
  • DAY3
  • DAY4
  • DAY5
  • DAY6

先進的なインシデントレスポンスと脅威のハンティング

あなたを標的にしている攻撃者に対して利点を得る方法があります。それは、正しい考えや何が効果的であるかを知ることから始まります。

この10年は、ネットワークディフェンダーにとって決して親切なものではありませんでした。現代の企業に対する脅威は無数にあり、攻撃者は企業ネットワークの計り知れない複雑さを利用して私たちを攻撃してきました。しかし、潮目は変わりつつあります。過去10年間で、組織に対する巧妙な攻撃が劇的に増加しています。中国やロシアのような国の諜報サービスに端を発した国家による攻撃は、しばしばAPT(Advanced Persistent Threat)と呼ばれていますが、これを抑制することは困難であることが判明しています。世界のあらゆる場所からの大規模な金融攻撃は、数十億ドルの損失をもたらしました。ランサムウェアによる財産強要は、ほぼ一夜にして実存する脅威となりました。私たちには不利な状況にありますが、一方で、最高のチームがこれらの脅威を管理し、軽減することが可能であることも証明しています。敵は優秀で、ますますスキルアップしています。私たちはどのように彼らに対抗するかを学習しているのでしょうか?はい、可能です。

このコースは、組織が侵入を検知して対応する能力を高めることを目的としています。これは達成可能な目標であり、ネットワーク内の悪を発見するために必要なツールとテクニックを教えることから始まります。このコースは、あなたとあなたの組織をソリューションの不可欠な一部にするように設計されています。インシデント対応者と脅威ハンターは、インシデントの迅速な修復という究極の目標を持って、高度な敵を特定し、追跡し、封じ込めるために、最新のツール、分析技術、および企業の方法論で武装していなければなりません。さらに、インシデントレスポンスと脅威ハンティングのアナリストは、企業内の何千ものシステムにまたがる可能性のある取り組みをスケールアップすることができなければなりません。1日目は、高度な脅威グループへのインシデントレスポンスに適用される6段階のインシデントレスポンス方法論を検討することから始めます。サイバー脅威インテリジェンスを開発して敵の「KillChain」に影響を与えることの重要性を解説し、フォレンジックの観点でのライブレスポンス技術と戦術が、単一システムにも企業全体にも適用できることを実証していきます。

攻撃を理解することは、攻撃を検知して軽減するためには非常に重要な事です。初日に攻撃者のテクニックの教育を開始し、一般的なマルウェアの特徴を学び、ネットワーク内での永続性を維持するために敵が使用するテクニックを深く掘り下げていきます。永続性は、攻撃サイクルの早い段階で完了し、ネットワークを監査して早期発見を達成するためのハンティング技術を学びます。Living off the land binaries(ほとんどの環境で利用可能なローカルツール)と、特にWMIベースの攻撃は、高度な敵の標準的な攻撃手順となっており、このような攻撃を大規模に識別するためのツールとテクニックを使って一日を終えます。

演習

  • SIFT Workstationを使ったフォレンジックラボのセットアップとオリエンテーション
  • 永続性 – マルウェアの永続性の検知と分析
  • データ収集と分析のスケーリング
  • 悪意のあるWMIイベントコンシューマの発見と分析

トピック

実際のインシデント対応戦略
  • 準備:侵入に対する適切な対応をするためにインシデント対応チームが必要とする主要なツール、技法、および手順
  • 識別/スコーピング:インシデントを適切にスコーピングと企業内の侵入を受けたすべてのシステムの検出
  • 封じ込め/インテリジェンス開発:脅威インテリジェンスを開発するための攻撃者のアクセスの制限、監視、および学習
  • 根絶/修復:現在のインシデントを阻止するために必要な重要なステップの決定と実行
  • 回復:類似の攻撃が再度発生した際に備えた脅威インテリジェンスの記録
  • 「場当たり」的対応の回避:即時根絶を行うには適切なインシデントの範囲指定と封じ込めなしには実現しない
脅威ハンティング
  • ハンティングと受動対応
  • インテリジェンス主導のインシデント対応
  • 継続的なインシデント対応/脅威の脅威ハンティングの構築
  • エンドポイントにおけるフォレンジック分析と脅威ハンティング
  • 脅威ハンティングチームの役割
  • ATT&CK-MITREの対抗戦術、技術、共通知識
企業における脅威ハンティング
  • 侵害されたシステムの特定
  • 活動中、休止中のマルウェアの発見
  • デジタル署名されたマルウェア
  • マルウェアの特徴
  • 一般的な隠蔽のメカニズム
  • 正常を理解して悪を見つける
インシデント対応とエンドポイント間のハンティング
  • WMICとPowerShell
  • PowerShellのリモートからの実施可能性
  • PowerShellのリモートからのCredential保護
  • Kansa PowerShellのリモートからのIRフレームワーク
マルウェア防御の回避と識別
  • サービスハイジャック/交換
  • よくあるコンパイル
  • バイナリパディング
  • 梱包/外装
  • 休止状態のマルウェア
  • 有効な証明書を持つ署名コード
  • フォレンジック対策/タイムスタンプ自動起動の場所
マルウェアの持続性の識別
  • AutoStartロケーション、RunKeys
  • サービスの作成/リプレース
  • サービス障害の復旧
  • スケジュールされたタスク
  • DLLハイジャック
  • WMIイベントコンシューマ
WMIベースの攻撃の調査
  • WMIの概要
  • キルチェーン全体にわたるWMI攻撃
  • WMIリポジトリの監査
  • WMIファイルシステムとレジストリの残留
  • コマンドライン分析とWMIログ
  • WMIプロセスの異常

侵入分析

攻撃者はいい加減であり、どこにでも足跡を残します。最高のハンターの秘密を学んでください。

サイバーディフェンダーには、ネットワーク内の敵の活動を特定、捜索、追跡するためのさまざまなツール類が用意されています。各攻撃者の行動は対応するアーティファクトとして証跡(フットプリント)が残されており、予測可能な攻撃パターンに対して調査を集中することが各チームメンバーに求められます。一例として、ある時点で、攻撃者はその目的を達成するためにコードを実行する必要があります。このアクティビティは、アプリケーション実行アーティファクトによって識別できます。攻撃者はコードを実行するために1つまたは複数のアカウントも必要となります。したがって、アカウント監査は悪意のある操作を識別する強力な手段となります。攻撃者はネットワーク全体に移動する手段も必要とするため、私たちはミッションのこの部分を達成するための比較的少数の方法によって残された証跡を探します。このセクションでは、一般的な攻撃者のスパイ活動の技術について説明し、エンタープライズ内の悪意のあるアクティビティを識別するために使用できる様々なデータソースとフォレンジックツールについて解説します。

演習

  • ShimcacheおよびAmcacheから実行の痕跡を検出する
  • イベントログの抽出・分析から資格情報の乱用を発見する
  • イベントログ分析により横方向への移動(内部移動)を追跡する
  • WMIおよびPowerShellの不正使用を検出する

トピック

正当な資格情報の盗用と利用
  • Pass the Hash
  • シングルサインオン(SSO)Mimikatzを使用したダンプ
  • トークンの盗用
  • キャッシュされたクレデンシャル
  • LSAシークレット
  • Kerberos攻撃
  • NTDS.DITの盗難
実行痕跡の高度な証拠
  • プロセスの実行によって過剰に処理される攻撃手法、テクニック、および手順(TTP)
  • プリフェッチの回復と分析
  • アプリケーション互換性キャッシュ(Shimcache)
  • Aamcacheレジストリ検査
  • ShimCacheAmcacheの調査のスケーリング
横移動に対する戦術、テクニック、手順(TTP)
  • クレデンシャル技術の侵害
  • リモートデスクトップサービスの悪用
  • Windows管理者による不正使用の共有
  • PsExec と Cobalt Strike ビーコン PsExecのアクティビティ
  • Windowsリモート管理ツールのテクニック
  • PowerShellリモート処理/ WMICハッキング
  • 脆弱性の悪用
インシデントレスポンダおよびハンターのイベントログ分析
  • プロファイリングアカウントの利用によるログオン
  • 横方向の動きの追跡とハンティング
  • 疑わしいサービスの特定
  • 不正アプリケーションのインストール検出
  • マルウェア実行とプロセス追跡の発見
  • コマンドラインとスクリプトのキャプチャ
  • PowerShellのトランスクリプトとスクリプトブロックのロギング
  • Cobalt Strike ビーコン によるPowerShellを使ったインポート操作の発見
  • PowerShellスクリプトの難読化
  • WMIアクティビティログ
  • アンチフォレンジックとイベントログの消去

インシデントレスポンスと脅威のハンティングにおけるメモリフォレンジック

メモリ分析を使うのは時にズルをしているように感じます - アクティブな攻撃を見つけるのは簡単ではありません。
メモリフォレンジックは、わずか数年の間に長い道のりを歩んできました。現在では、多くの高度なtool suitesの重要なコンポーネントとなっており、インシデントレスポンスや脅威ハンティングを成功させるチームの中心となっています。メモリフォレンジックは、標的型攻撃者が使用したワーム、Rootkit、PowerShell、および高度なマルウェアの証拠を見つけるのに非常に効果的です。実際、ファイルレス攻撃の中には、メモリ解析なしでは解明が不可能に近いものもあります。メモリ解析は従来、Windows内部に精通した専門家やリバースエンジニアの領域でしたが、新しいツール、技術、検出ヒューリスティックにより、今日ではすべての調査者、インシデントレスポンダー、および脅威ハンターが利用できるようになりました。さらに、メモリ内の攻撃パターンを理解することは、幅広いエンドポイント検知・レスポンス製品(EDR)に適用可能なコア・アナリストのスキルであり、これらのツールをさらに効果的なものとします。この非常に人気の高いセクションでは、活用可能な最も強力なメモリ解析機能の多くをカバーし、使用するツールセットにかかわらず、調査を超強化するための高度なメモリ・フォレンジック・スキルの確固たる基礎を提供します。

演習

  • F-Response Enterpriseを使用したリモートエンドポイントインシデント対応、ハンティング、および分析
  • F-Response Enterpriseを使用したリモートエンドポイントメモリ検査
  • KAPEによるトリアージイメージの作成
  • Velociraptorによるスケーリング調査
  • エンタープライズ環境にある複数システムのメモリから、未知のカスタムマルウェア(活動中/休止中)を検出する
  • 通常か変異かを識別するためWindowsプロセスツリーを調査する
  • マルウェアが攻撃者とコマンド&コントロール(C2)チャネルの通信をするために利用する、一般ポートのAPTビーコンを探す
  • メモリ上の文字列検索やバッファ履歴から残っているコマンドラインを探す
  • Frequency of Least Occurrence スタッキング技術を用いて、侵害されたシステムのメモリをベースラインシステムと比較する
  • コードインジェクションとルートキットを含む高度なマルウェア隠蔽手法を特定する
  • 分析を自動化するための侵害インジケータの採用
  • マルウェア感染したシステムのメモリイメージを分析する
    • Stuxnet
    • TDL3/ TDSS
    • Cozyduke RAT
    • Rundll32
    • Zeus/Zbot
    • Conficker
    • StormWorm Rootkit
    • Black Energy
    • WMI and PowerShell
    • Cobalt Strike Beacons Frequency of Least Occurrenceスタッキング技術を使ったPowerpicksystem
    • Metasploit
    • Custom APT command and control malware

トピック

リモートおよびエンタープライズ・インシデント・レスポンス
  • エンタープライズでのリモートエンドポイントアクセス
  • RemoteEndpointホストベースの解析
  • スケーラブルなホストベースの解析(1,000のシステムを調査するアナリスト)およびデータスタッキング
  • リモートメモリ解析
トリアージ、エンドポイントディテクションおよびレスポンス(EDR)
  • エンドポイントトリアージコレクション
  • EDRの機能と課題
  • EDRとメモリフォレンジック
メモリ獲得
  • Windows 32および64ビットシステムからのシステムメモリの取得
  • ハイバネーションとページファイルメモリの抽出と変換
  • 仮想マシンのメモリ獲得
  • Windows10でのメモリの変更点
  • Windows10仮想セキュアモード
レスポンスとハンティングのためのメモリフォレンジック分析プロセス
  • 共通のWindowsサービスとプロセスの理解
  • 不正なプロセスの特定
  • プロセスDLLとハンドルの解析
  • ネットワークアーティファクトの確認
  • コードインジェクションの証拠探し
  • ルートキットの兆候確認
  • 疑わしいプロセスとドライバの入手
メモリフォレンジックスの検査
  • ライブメモリフォレンジック
  • ボラティリティを備えた高度なメモリ解析
  • プロセスツリー解析によるWebshellの検出
  • メモリ内でのコードインジェクション、マルウェア、およびルートキットのハンティング
  • WMIおよびPowerShellプロセス
  • 型指定された攻撃者用コマンドラインの抽出
  • Windowsサービスの調査
  • 比較ベースラインシステムを使用したマルウェアのハンティング
  • RAMからキャッシュファイルを検索してダンプ
メモリ解析ツール
  • Volatility
  • F-Response
  • Velociraptor
  • Comae Windows Memory Toolkit

受講生は、F-Response Enterprise Edition6ヶ月間のフルライセンスを受けることができ、ワークステーションまたはSIFTワークステーションを使用して、企業内の何百、何千ものシステムに接続し、アクションをスクリプト化することができます。この機能は、新しいインシデントレスポンスと脅威検知技術をベンチマーク・促進し、実証するために使われます。これにより、レスポンダは、メモリとディスク上の企業ネットワーク全体で侵害の指標を探すことができます。

タイムライン解析

タイムライン解析は、デジタルフォレンジック脅威のハンティング及びインシデントなどへの対応方法に変革をもたらします。

タイムライン解析を知れば、今までのデジタルフォレンジックとインシデントレスポンスのやり方が劇的に変わるでしょう。スパイ活動に対するタイムライン解析の先駆者から直接学ぶことで、その高度な解析技術を知ることができます。

一時データは、コンピュータシステムのありとあらゆる所に存在しています。ログファイル、ネットワークデータ、レジストリ、インターネット履歴ファイルなども、そのような一時ファイルの一例です。ファイルシステムにはMACタイム(モディファイ/アクセス/クリエイト)がその全てのデータに記録されており、それらを相関分析することで事件の究明に一歩近づくことができます。2001年にRob Leeがこの分析手法を開拓して以来、タイムライン解析は複雑な事件を解決する強力な調査手法として使用されてきました。新しいタイムライン解析のフレームワークでは、いくつもの時間ベースの解析を同時に処理することができます。これにより解析に費やす時間が1日から数分に短縮することができ、強力な調査手法としての立場を不動のものとしています。

このセクションでは、複雑なインシデントとフォレンジック事例においてタイムラインを作り、それぞれ解析する2つの手法について順に見ていきます。演習では、タイムラインの作成方法だけではなく、受講者が実際に経験した事例などを題材として、より効果的な分析につなげるための方法を紹介します。

演習

  • マルウェアの防御回避技術の検知
  • タイムライン解析を通して、APTグループの攻撃の始まりとスピアフィッシングはどのように行われだしたのかを識別する
  • APTグループがネットワークに侵入しアクセス権を維持するのに利用した、隠蔽や時刻改ざんが行われているマルウェアやユーティリティをターゲットに解析する
  • スーパータイムライン解析を通して、APT攻撃の挙動を秒単位で追跡する
  • ファイルシステムのタイムスタンプやその他一時的に残されるアーティファクトといった証跡を見ていくことで、エンタープライズ環境のシステムがどのように侵害され横展開されたのかを観察する
  • 効率的に目的のデータを見つけるため、タイムライン上のシステムアーティファクト、ファイルシステム、レジストリをフィルタする方法を学ぶ

トピック

マルウェアの防御回避と検知
  • 妥協点の指標 - YARA
  • エントロピーとパッキング解析
  • 実行可能な異常
  • デジタル署名解析
タイムライン解析の概要
  • タイムライン解析による利点
  • 前提知識
  • Pivot Pointの検出
  • タイムラインコンテキストのヒント
  • タイムライン解析のプロセス
ファイルシステムタイムラインの作成と分析
  • ファイルシステム別MACBの意味
  • Windowsタイムルール(ファイルコピーとファイル移動)
  • Sleuthkitとflsを使用したファイルシステムタイムラインの作成
  • mactimeツールを使用したボディファイルの分析とフィルタリング
スーパータイムラインの作成と分析
  • スーパータイムラインアーティファクトルール
  • プログラムの実行、ファイルの知識、ファイルの開き方、ファイルの削除
  • log2timeline / Plasoによるタイムラインの作成
  • log2timeline/ Plaso コンポーネント
  • psortを使用したスーパータイムラインのフィルタリング
  • ターゲットスーパータイムラインの作成
  • スーパータイムライン解析
  • スーパータイムライン解析のスケーリング

インシデントレスポンスとエンタープライズハンティング|高度な攻撃とフォレンジック検知

先進的な攻撃は優れていますが、私たちはその上に立つ必要があります。

優秀な敵に対して、私達は彼らを上回る能力を身に付けなければなりません。

フォレンジック対策のステップの中には、比較的簡単に検知できるものもあれば、対応するのが難しいものもあります。そのため、フォレンジックの専門家やインシデントレスポンダは、重要な残存証拠として明らかにすることができるオペレーティング・システムとファイル・システムの様々な側面について知識を持っていることが重要です。このセクションでは、主にファイルシステムに焦点を当てて、調査に関係するファイル、ファイルの断片、およびファイルのメタデータを復元します。これらの痕跡は、削除されたログ、攻撃者のツール、マルウェアの構成情報、流出したデータなどを分析者が発見するのに役立ちます。これにより、攻撃者のTTPをより深く理解することができ、侵入を徹底的に調べ上げるためのより多くの脅威インテリジェンスが得られることがよくあります。場合によっては、これらのディープダイブのための技術が、攻撃者が対象のシステム上で活動していたことを証明する唯一の手段になることもあります。

演習

  • ボリュームシャドウのスナップショット分析
  • ボリュームシャドウのスナップショットにまたがるタイムライン
  • NTFS ファイルシステムの様々なコンポーネントを使用したアンチフォレンジック分析
  • 不審なファイルをチェックするTimestomp
  • レコードカービングと削除されたボリュームシャドウコピーのリカバリと高度なデータリカバリ

トピック

ボリュームシャドウコピー分析
  • ボリュームシャドウコピーサービス
  • ボリュームスナップショットの履歴データにアクセスするためのオプション
  • vshadowmount でのシャドウコピーへのアクセス
  • ボリュームシャドウコピーのタイムライン
先進的なNTFSファイルシステムの戦略
  • NTFSファイルシステム分析
  • マスターファイルテーブル(MFT)の重要領域
  • NTFSシステムファイル
  • NTFSメタデータ属性
  • $ StdInfoおよび$ Filenameに対するWindowsタイムスタンプの規則
  • NTFSタイムスタンプ解析による検出
  • 常駐ファイルと非常駐ファイル
  • 代替データストリームの非表示データ
  • NTFSディレクトリ属性
  • B-Treeインデックスの概要とバランス
  • ディレクトリ一覧と$ I30ファイルを使用した、ワイプ/削除されたファイルの検索
  • ファイルシステムフライトレコーダ:トランザクションロギングと$ Logfileおよび$ UsnJrnl
  • ジャーナル内の共通の活動パターン
  • ジャーナル内の便利なフィルタと検索
  • NTFSファイルシステムからデータが削除された時の挙動
高度な証跡回復
  • 一般的なWiperとPrivacy Cleanerのマーカー
  • 削除されたレジストリキー
  • レジストリ内の「ファイルレス」マルウェアの検出
  • ファイルカービング
  • ボリュームシャドウカービング
  • NTFSとイベントログレコードのカービング
  • 効果的な文字列検索
  • アンチフォレンジックに対抗するためのNTFSコンフィグの変更

APTインシデントレスポンスチャレンジ

APTのような攻撃のシミュレーションを行い、本コースで学んだデジタルフォレンジック、ネットワークフォレンジックなどの知識を総動員して学習成果を確認します。シミュレーション環境では、複数のWindowsで構成される企業環境を模したシステムが侵害されているという状況が付与されます。受講生は、最初にどのようにシステムが侵害されたかを検出し、続いて他のシステムへ侵入した形跡を見つけ、最終的にデータ抽出によって知的財産が盗まれたことを証明するという、実践形式の訓練を通じて、その能力を競います。このシナリオは、実際にAPT組織などによる先進的な攻撃への対応に取り組んできた経験を持つ人物によってまとめられたものです。

本チャレンジでは、チームに分かれてネットワーク内の複数システムを解析します。チャレンジの最中に、実際と同じく幾つかキーとなる質問に対して回答して頂きます。

トピック

  • 侵入フォレンジックチャレンジでは各インシデント対応チームは企業ネットワーク内の複数のシステムで発生したインシデントの解析を行います。
  • ネットワーク全体にわたる攻撃者の行動を特定・追跡する方法を学び、初期搾取、偵察、永続性、クレデンシャルダンピング、ラテラルムーブメント、ドメイン管理者への昇格、データの窃盗/侵入を発見します。

  • Cobalt StrikeMetasploitPowerShell exploit フレームワーク、カスタムマルウェアなど、最も一般的で洗練された攻撃の証拠を発見します
  • チャレンジ中、各インシデント対応チームは組織内での実際の侵害と同様に、以下にリストされているさまざまなカテゴリの重要な質問に答え、重大な問題に対処するよう求められます。
  •  
識別とスコープ
  1. APTグループはいつ、どのようにしてネットワークを侵害したか?
  2. 侵入された全システムのIPアドレスと侵入特有の痕跡を一覧化します。
  3. 攻撃者はいつ、どのようにして最初の水平方向の動きを各システムに対して行ったか?
封じ込めと脅威インテリジェンスの収集:
  1. 攻撃者はいつ、どのようにしてドメイン管理者の資格情報を入手したか?
  2. 一旦侵入し後、攻撃者は各システムで何を探したか?
  3. エグゼクティブアカウントに紐付く電子メールから受けた損害の評価を行う。
  4. 盗まれたものの特定。抽出された.rarファイルまたはその他のアーカイブを復元し、暗号化パスワードを見つけ、内容を抽出して抽出データを検証する。
  5. 攻撃に使用されたすべてのマルウェアを収集して一覧化。
  6. 侵害されたホストやネットワークに対する、指標に基づいたサイバー脅威インテリジェンスの開発と提示。
修復と回復
  1. ドメイン内のすべてのユーザーのパスワードを変更する必要があるか?それとも侵入によって影響を受けたホストだけでよいのか?
  2. インシデント中に発見された攻撃者のテクニックとツールに基づくインシデントの修正と回復に向けた推奨手順は何か?
    1. システムを再構築する必要があるか?
    2. どのIPアドレスをブロックする必要があるか?
    3. これらの攻撃者が戻ってきた場合の対処方法を教えてください。
    4. 私たちのネットワークでこれらの侵入者をもう一度検出するために、どのような提案をしますか?

追加注意事項

  • FOR500に参加したことがある方は、FOR500 - Windows SIFT Workstation Virtual Machineのコピーを持参してください。最後のチャレンジやFOR508の多くのエクササイズに使用することができます。
  • 役に立ちそうな他のフォレンジックツール(Splunk、EDR、EnCase、FTKなど)を持参/インストールしても構いません。コースの最後に行われる最終課題では、商用のものを含め、あらゆるフォレンジックツールを利用することができます。ドングルやライセンスソフトウェアなどをお持ちであれば、自由にご利用いただけます。
  • インターネットからダウンロードしたSIFTワークステーションは使用しないでください。講座 の1日目にFOR508専用に設定されたバージョンをお渡しします。

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。