SECURITY 699

Purple Team Tactics - Adversary Emulation for Breach Prevention & Detection

English

日程: 2021年10月18日（月）～10月23日（土）

期間: 6日間

講義時間

1日目：9:00 ～ 17:00

2日目~6日目：9:30 ～ 17:00

受講スタイル: Live Online

会場: オンライン

GIAC認定資格: －

講師: Jean-François Maes|ジャンフランソワマース

言語: 英語　英語教材・同時通訳

定員: 40名

CPEポイント: 36 Points

受講料: 840,000円（税込み 924,000円）

申込締切日: 2021年10月8日（金）

オプション

OnDemand　価格：105,000円（税込み 115,500円）
NetWars Continuous　価格：190,000円（税込み 209,000円）

※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。

お申し込み受け付け終了

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

SEC699 PC設定詳細

【重要】次の手順に従って構成したシステムを準備してください。

このコースへフル参加するためには適切に構成されたシステムが必要です。この指示を注意深くお読みいただいて従っていただけない場合、このコースに不可欠となっている実践型演習に参加できず、ご受講の満足度を下げてしまう可能性があります。つきましては、指定されているすべての要件を満たすシステムを用意いただくことを強くお勧めします。

必須のシステム要件

Windows、Linux、またはMac OS X 64ビットバージョンが稼働しているシステム
注:M 1プロセッサを使用しているAppleシステムは、必要な仮想化を現時点では実行できないため、このコースでは使用できません。
8 GB以上のRAM
60 GBの利用可能ディスク容量 (これよりも多くの空き容量を推奨)
オペレーティング・システムの管理者権限
アンチウイルスソフトウェアを無効にできること（一部のツールをインストールするために必要です）
使用可能なUSBポート
ネットワーク接続用の無線LAN
個人や企業でお使いのデータがシステム内に配置されていないこと
仮想化テクノロジーが有効になっていること
Windows 10 Credential GuardとDevice Guardが無効になっていること

受講前に必須の準備:

64ビットのホストオペレーティングシステムがインストールされていること (Windowsを推奨します)
受講開始前に、VM Workstation Pro 15.5以降、VMware Fusion 11.5以降、またはVMware Workstation Player 15.5以降のバージョンをシステムにダウンロードしてインストールされていること
Adobe Acrobatまたはその他のPDFリーダーアプリケーション
このコースで演習を行うにはAWSのアカウントが必要です。アカウントは、講義の開始前に作成しておく必要があります。講義の開始後にアカウントをセットアップすると演習の実施に遅れます。作成されたアカウントにはクレジットカードを登録しておく必要があります。AWSの利用にかかる費用は約$50と見積もっておいてください。
詳しい準備の手順については、次のURLを参照してください。https://sans-sec699-vm.s3.eu-west-2.amazonaws.com/README_LESSON_0.pdf

CPUとオペレーティングシステムが64ビットをサポートしていることが重要です。そのことにより64ビットのゲスト仮想マシンがラップトップ上で動作できるようになります。Vmwareでは、ホストが64ビットゲスト仮想マシンをサポートしているかどうかを確認するWindowsおよびLinux用の無料ツールを提供しています。

講義開始の前に、VM Workstation Pro 15.5以降、VMware Fusion 11.5以降、またはVMware Workstation Player 15.5以降のバージョンをシステムにダウンロードしてインストールしてください。VMware WorkstationまたはFusionのライセンス版を所有していない場合は、VMwareから無料の30日間試用版をダウンロードできます。VMwareのWebサイトでトライアルの登録をすると、期限付きのシリアル番号が送送られてきます。

VirtualBoxやHyper-Vなどのその他の仮想化ソフトウェアは、講義中に互換性の問題やトラブルシューティングにおける問題が発生する可能性があり、適切ではありません。

Windows 10上のVMware Workstation ProおよびVMware Playerは、Windows 10 Credential GuardおよびDevice Guardテクノロジーとの適合していません。これらの機能がシステムで有効になっている場合、講義中は無効にしてください。

コースウェアはダウンロードで配信されます。ファイルのサイズは大きく、40 -50 GBになる場合があります。ダウンロードを完了させるためには十分な時間が必要です。インターネット接続と速度はさまざまでありいろいろな要因によって異なるため、コースウェアのダウンロードにかかる時間を見積もることはできません。コースウェアのダウンロードのためのリンクを取得したら、すぐにダウンロードを開始してください。講義の初日にはすぐ教材が必要になります。講義開始の前夜までダウンロードを待つと、講義への参加がうまくいかなくなる確率が高くなります。

SANSではPDF形式のドキュメントの提供を開始しています。また、PDFに加えて電子版のワークブックを使用するクラスがあります。電子版のテキストを使用するクラスの数は急速に増加していますので、2台目のモニタやタブレットデバイスを用意し、インストラクターがプレゼンテーションを行っているときや、実習を行っているときに、講義の資料を表示できるようにしておくと便利です。

SEC699 コース概要

SEC 699は、パープルチームに関するSANSの先進的なコースです。このコースでは、データ侵害の防止・検知のための攻撃者エミュレーションに重点を置き、現実の企業や組織の環境に脅威アクターをエミュレートする方法について学習します。このコースの目標は、どのように攻撃者の技術をエミュレート・検知できるかを受講生に教示することにあります。

SEC 599コースとつながりを持つ高度なSANSのコースであり、授業時間の60%が演習に充てられています。主な内容には次の項目を含みます。

Ansible、Docker、Terraformなどの一般的な自動化戦略に関する講義。こうしたツールにより、マルチドメインのエンタープライズ環境を構築して、ボタンを押すだけで攻撃者をエミュレートが可能となります
パープルチーミングのための適切なプロセス、ツール、およびプランニング
CovenantやCalderaなどのツールを使った、APT-28、APT-34、Turlaのような現実世界での脅威アクターを模した攻撃者エミュレーション計画立案
Kerberosデリゲーション攻撃、攻撃面の縮小、Applockerのバイパス、AMSI、プロセス・インジェクション、COM Objectハイジャッキングなどの詳細

上に挙げた手口を検知するためのSIGMAルールの作成
レッドチームとブルーチームが対峙するキャップストーン。レッドチームが組織への潜入を試み、ブルーチームは敵を検知するための能力を構築

コースの執筆者であるErik Van Buggenhout (SEC 599コースのメイン著者) とJames Shewmaker (SEC 660コースの共著者) は、いずれもGIAC認定セキュリティエキスパート (GSE) で、レッドチームとブルーチームにおけるインシデント対応、セキュリティ監視、スレット・ハンティングなどを通じ、サイバー攻撃がどのように行われるか深く理解しています。このコースでは、これらのスキルセットを組み合わせて、データ侵害の防止とその検知のための攻撃者エミュレーションについて受講生に解説します。

このコースを通じて、次の事柄について理解を深めることができます。

所属組織でのパープルチームの構築
組織の保護を強化するための、現実的な攻撃者エミュレーション計画の立案
既存ツールのカスタマイズやプラグインの開発とレッドチームやパープルチームの活動への展開
アプリケーションのホワイトリストバイパス、フォレスト間での攻撃 (委任の悪用) 、ステルス永続化などの高度な攻撃の実行
高度な攻撃の手口を検知するためのSIGMAルールの構築

パープルチームコースのFAQ

このコースで受講生が入手できるもの
検出ラボ立ち上げのためのスクリプトが含まれた仮想マシン一式

受講対象者

ペネトレーションテスター
エシカルハッカー
アタッカーの方法論、ツール、手法をよりよく理解したい防御担当者
レッドチームメンバー
ブルーチームメンバー
パープルチームメンバー
攻撃の戦術をよりよく理解したいフォレンジックの専門家

本講座受講にあたっての前提

このコースは「レッドチームとブルーチームでの活動で必要とされる高度なテクニックを学びたい」という、強い意志を参加の前提としており、テンポが速い上級者向けのコースです。このコースの受講準備、または受講の補完として、次の各コースのご受講をお勧めいたします。

SEC 599
SEC 560

プログラミング経験があることを強く推奨します(どのような言語でも構いません)。少なくともプログラミングの基本的な概念は学んでおくことをお勧めします。

ペネトレーションテストの基礎についても十分に理解しておく必要があります。また、LinuxとWindowsを熟知していることが必須です。TCP/IPとネットワークの概念についてもしっかり理解しておく必要があります。

前提条件について質問や懸念がある場合は、コースの執筆者 (evanbuggenhout@nviso.be) にご連絡ください。

受講内容の一例

6日間にわたるSEC 699のコースは、次のように構成されています。

1日目は、攻撃者エミュレーションとパープルチーミングを成功させるために必要となる基盤を構築します。このコースは上級者向けであるため、使用するツールについて詳しく説明するだけではなく、既存のツールをさらにカスタマイズする方法についても学びます。
2~4日目は、検知のための戦略にポイントをおき、様々な手口とそれに対する防御について徹底的なハンズオン演習で学んでゆきます。2日目は初期アクセスにおける手口にフォーカスし、3日目は組織内部でのラテラル・ムーブメントと特権の昇格、4日目は永続化を取り扱います。
5日目は、3つの異なる脅威アクターについてのエミュレーション計画を作成します。エミュレーション計画はCovenantやCalderaで実行します。
6日目は、レッドチームとブルーチームが互いに戦うラボ演習を実施します。レッドチームは組織に侵入しようとし、ブルーチームは攻撃の手口を検知するための仕組みを構築します。

コース開発者より

SEC 599に続き、このコースをSANS受講者のみなさんに提供できることを非常に楽しみにしています。SEC 699は、エンタープライズ・ラボ環境を活用した、ハンズオン型の攻撃者エミュレーションのコースであり、受講生からいただいた要望をもとに作成された素晴らしいコースです。みなさま、お待たせいたしました！

SEC 699の受講生は、エンタープライズ環境で適切にパープルチームの活動を行うための高度なレッドチームとブルーチームのテクニックを学びます。1週間を通して、私たちは『ヒントやコツ』を説明することにフォーカスするだけでなく、受講生自身がただしい攻撃者エミュレーションのために独自のツールを構築して利用できるようにします。これには、カスタム版のCaldera、SIGMA、Velociraptorの開発などを含みます。

SEC 699のラボ環境は、Teraformのプレイブックを使用して完全に構築されており、攻撃される可能性のある複数のドメインとフォレストをカバーしています。受講者は自分のAWSアカウントでラボ環境を稼働させることによって、受講後、数か月から数年にわたってさえもご自身での練習を続けることができます。

- Erik Van Buggenhout

ラボは、教えられたコンセプトを理解を促進するのに非常に役立つものでした。Jimは明確なコミュニケーションスタイルで、学習を意味あるものにしてくれました。

- Fitzroy Roswell, JP Morgan Chase

DAY1
DAY2
DAY3
DAY4
DAY5
DAY6

データ侵害防止と検知のための攻撃者エミュレーション

1日目の講義では、次の通り、2日目以降に向けた基礎固めをします。

自動化ソリューションを活用し、演習で利用するインフラを構築します
プロセス、アプローチ、ツールについてカバーしつつ、パープルチームの社内での構築方法を学びます
VECTRを使用したパープルチーム活動のトラッキング
検知ルール開発のためのSIGMA、CovenantとCalderaによる攻撃者エミュレーションツールを使った攻撃者エミュレーションと検知のためのパイプライン構築

※初日ではありますが、5種類の演習を徹底的に行っていきます。

演習

ラボ環境の構築
VECTRの概要
ElasticスタックとSIGMAスタックの準備
攻撃者エミュレーションスタックの準備
Caldera

トピック

イントロダクション
-コースの目的
-ラボ環境の構築
-ラボ環境の構成紹介
-パープルチームの組成
キーツール
-検知用のスタックの構築
-検知のカバレッジの評価
-ルールベース検知 vs アノマリーベース検知
-攻撃者エミュレーションのためのスタック構築
-MITRE Calderaを使用した自動エミュレーション

初期の侵入戦略のエミュレーションと検知

2日目の講義では、次の内容について説明します。

まず最初に、初期の攻撃戦略と防御についての最新の概況についての説明から、講義をはじめます。
Anti Malware Scanning Interface (AMSI)など、Microsoftが標準で提供する防御の機能について、どのように機能するのか、どの程度効果的なのか、どのようにしてバイパスが可能なのかを詳しく説明します。
攻撃面の縮小 (Attack Surface Reduction:ASR) のルールを使用したエンドポイントでの実行の制御。Windows 10で導入されたASRルールは、悪意のあるペイロードの実行を防ぐために使用できる追加のセキュリティ層です。その有効性に着目し、いくつかのバイパスのテストをします。
AppLockerを使用したエンドポイントでの実行制御。Windows 7で導入されたAppLockerは、悪意のあるペイロードの実行を防ぐために使用できる、アプリケーション制御テクノロジーです。その有効性にフォーカスし、いくつかのバイパスのテストをします。
Endpoint Detection & Response (EDR) ツールの台頭により、組織において詳細な検知が可能になり、エンドポイントで即時に対応できるようになりました。これらのツールは、セキュリティが置かれている状況を変え、敵対者はより工夫しなければならなくなっています。ここでは、プロセスIDのスプーフィング、コマンドライン引数のスプーフィング、プロセスインジェクションとプロセスハウリング、そして最後にシステムコールの直接での使用など、EDRのバイパス方法をいくつか取り上げます。ここではかなり専門的な説明を行います。

演習

VBA Stomping、Purging、AMSIのバイパス
アプリケーション実行制御のバイパス
攻撃面縮小(ASR)のバイパス
最新のセキュリティ製品のバイパス-プロセスIDの親子およびコマンドラインスプーフィング
最新のセキュリティ製品のバイパス-プロセスハウリング
最新のセキュリティ製品のバイパス-直接システムコール

トピック

初期における侵入の戦略
-従来型の攻撃戦略と防御
攻撃者エミュレーションのテクニックと防御
-Anti-Malware Scanning Interface (AMSI)
-Officeマクロの難読化
-アプリケーションの実行制御
-ExploitGuardと攻撃面縮小(ASR)のルール
ステルス型の活動 - プロセスの不正
-Windowsの内部についての詳細
-不正なプロセスによるセキュリティ製品の回避
-不正なプロセスの探知
まとめ

特権の昇格・ラテラルムーブメントのエミュレーションと検知

3日目の講義では、次の内容について説明します。

Active Directoryのリソースおよび設定を列挙し、Active Directory環境全般の攻撃面をマッピングします
Local Security Authority Subsystem Service (LSASS) プロセスについて、その目的と、伝統的にどのように攻撃されてきたかを説明します。ここでは、セキュリティ・サポート・プロバイダ (SSP) や認証パッケージ (AP) などのトピックについて詳しく説明します。その後、さまざまなツール(Mimikatz、Dumpert、ProcDump)を使用したLSASSダンプ攻撃の実行と検知について詳しく説明します
セキュリティ製品がLSASSに重点を置いていることを考慮して、他の資格情報のダンプ技法についても調査を行います。LSASSに触れることなく、どのようにして攻撃者が認証情報を盗むことができるのでしょうか。主なテクニックには、Internal Monologue (NTLMv 1ダウングレード) 、NTDS.dit stealing、DCSyncなどがあります
Windows認証の強制:ネットワークレベルのアクセス (またはネットワークに接続されたデバイスの初期ペイロード) が提供されているとして、他のWindowsシステムからの接続を強制して追加の認証情報を取得するにはどうすればよいか。これには一般的に、LLMNRの使用だけでなく、IPv 6ベースのMitM攻撃を含みます
Kerberosおよび従来の攻撃 (Kerberos、ASReproasting、ゴールデンチケット、シルバーチケット、およびスケルトンキー攻撃など) についての振り返り。その後、主に委任攻撃を中心に、高度な攻撃戦略に焦点を当てます。制約なし委任、制約付き委任、およびリソースベースの制約付き委任について説明します

演習

BloodHound攻撃チェーンの分析
LSASSからの資格情報盗用
NTLMv 1ダウングレードの内的独白
Creative NTLMv 2チャレンジレスポンス盗用
制約なし委任の悪用
制約付き委任の悪用

トピック

Active Directoryについての列挙
-Bloodhoundについての列挙
クレデンシャルダンプ
-LSASSクレデンシャル盗用テクニック
-LSASSにアクセスしない形での認証情報盗用
-NTLMv 2チャレンジレスポンスの盗用
Kerberos攻撃
-Kerberosの振り返り
-制約なし委任攻撃
-(リソースベース) 制約付き委任攻撃
まとめ

永続化のエミュレーションと検知

4日目の講義では、次の内容について説明します。

AD環境におけるセキュリティ境界、および異なるドメインとフォレスト間を攻撃者がどのように行き交うかについて説明します
攻撃者が用いる典型的な永続化の戦略を解説します。典型的な検知の戦略について議論します
ターゲット環境での永続的な足場を確立するためにコンポーネント・オブジェクト・モデル (COM) を悪用すること。Phantom COM ObjectsやCOM Search Order Hijackingなどの攻撃を含みます
Windows Management Instrumentation (WMI) による永続性の確立。WMIイベントフィルタ、イベントコンシューマ、およびイベントフィルタとコンシューマバインディングについて説明します
AppCert、AppInit、NetshellなどのDLLを使用した永続性の確立
Microsoft Officeの永続化への活用。テンプレートの悪用や悪意をもったアドイン
Application Compatibility Toolkit (ACT) を悪用した、Application Shimを通じた永続性の取得
ADを使用したステルス型の永続化

演習

ドメインとフォレストの間の行き来
COMオブジェクトハイジャック
WMIでの永続化
Netsh Helper DLLの実装
Officeによる永続化
Application Shimming
ADによるステルス型の永続化

トピック

ドメインとフォレストの間のピボッティング
-ドメインとフォレストの間の信頼関係の破壊
永続性確保のためのテクニック
-COMオブジェクトハイジャック
-WMIの持続性
-AppCert、AppInit、およびNetsh Helper DLL
-Officeテンプレートとライブラリを使ったトリック
-アプリケーションによるシミング
-ADのステルス永続性
まとめ

Azure ADとエミュレーション計画

5日目の講義では、次の内容について説明します。

最初に、Azure ADの攻撃における戦略について解説します。Azure ADとそのセキュリティメカニズム、攻撃の可能性について紹介します。Azure ADのロギングの戦略についても見ていきます
その後、3つの特定の脅威アクター (APT-28、APT-34、Turla) のエミュレーションのための計画を作成します
エミュレーションの計画が作成出来たら、CalderaとCovenantを使って実行します

演習

APT-28のエミュレーション計画
APT-34のエミュレーション計画
Turlaのエミュレーション計画

トピック

Azure AD
-構造と管理
-ハイブリッド認証
-認証方式
-条件付きアクセス
-Azure IDの概要
-セキュリティログ
エミュレーション計画の実行
-APT-28のエミュレーション計画
-APT-34のエミュレーション計画
-Turlaのエミュレーション計画
まとめ
-デブリーフィング:エミュレーション計画についてのまとめと得られた教訓

攻撃者エミュレーションのキャップストーン演習

SEC 699コースの最終日には、受講生は、レッドチームかブルーチームかを選んだうえで、キャップストーン演習に参加します。演習では、企業環境への侵入または防御を行います。
受講者は、このコースで学習したすべてのツールとテクニックを活用してキャップストーン演習に取り組む必要があります。

演習

レッドチーム、ブルーチームどちらかに参加してのキャップストーン演習（ハンズオン）

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。