NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Reverse-Engineering Malware: Advanced Code Analysis
Digital Forensics and Incident Response
English2022年10月24日(月)~10月28日(金)
1日目:9:00-17:30
2日目~5日目:9:30-17:30
オンライン
1,050,000円(税込 1,155,000円)
※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
演習で使用するノートPCをご準備ください。受講に必要なPC環境についてご確認ください。
重要! 下記の要項に従って設定されたシステムを持参してください。
このコースに完全に参加するためには、正しく設定されたシステムが必要です。この説明書をよく読み、それに従わない場合は、このコースに不可欠な実習に参加できないため、満足のいく授業が受けられない可能性が高くなります。したがって、このコースで指定されているすべての要件を満たすシステムで参加されることを強くお勧めします。
また、授業の前にシステムをバックアップしていただくとともに、機密データをシステムに保存しないようにしてください。弊社は受講者の皆様のシステムやデータに対して責任を負いません。
授業用メディアは、現在ダウンロードで配信されています。授業で使用するメディアファイルは、40~50GBの大容量となる場合があります。ダウンロードが完了するまでには、十分な時間が必要です。インターネット接続と速度は、様々な要因によって大きく異なります。そのため、教材のダウンロードにかかる時間の目安をお知らせすることはできません。ダウンロードリンクにアクセスできるようになりましたら、コースメディアのダウンロードを速やかに開始してください。授業初日には、コースメディアがすぐに必要になります。授業開始の前夜にダウンロードを開始すると、失敗する可能性が高くなります。
SANSでは、PDF形式の印刷物の提供を開始しました。さらに、一部のクラスでは、PDFに加え、電子ワークブックを使用しています。電子ワークブックを使用するクラスは、今後急速に増加すると思われます。この新しい環境では、セカンドモニターやタブレット端末があれば、講師の講義中やラボの演習中に授業資料を見ることができ、便利です。
防御側の分析スキルが向上し、マルウェアの自動検出機能が改善されるにつれ、マルウェアの作成者は、そのマルウェアを攻撃対象の企業で実行できるようにするため、より努力を重ねています。その結果、検知と分析を妨げるため、メモリ内で実行される、難読化を何重にも施したモジュール型のマルウェアが生み出されています。マルウェアアナリストは、これらの高度な機能に対応できるように準備し、可能な限り自動化を進めて、企業を標的とするマルウェアの量、種類、複雑さに対応する必要があります。
FOR710はFOR610の次のステップに位置づけられ、中級レベルのマルウェア解析能力を身につけた受講生が、さらに高度な解析能力を身につけるためのコースです。SANS認定インストラクターのAnuj Soniが開発したこのコースは、世間を騒がし、世界中のインシデント対応チームを悩ませるような高度なWindows実行ファイルを解析できるようにするためのものです。
深いリバースエンジニアリングのスキルを身につけるには、一貫した練習が必要です。このコースでは、座学だけでなく、授業中に実際のリバースエンジニアリングの実践演習に取り組む機会も数多く設けられています。
ライブストリーミングで、コースの著者であるAnuj Soniによるコースのプレビューを聞くことができます。
FOR710は、上級レベルのWindowsリバースエンジニアリングを学習するコースです。本コースは、SANS 「FOR610 Reverse-Engineering Malware」で説明したものと同等の知識およびスキルを有することを前提としています。動作解析、動的コード解析(デバッガの使用など)、静的コード解析(逆アセンブルされた実行コンテンツの解析など)を少なくとも6ヶ月以上行った経験があることが望ましいです。この機能に馴染みがない場合は、Anuj Soniによる簡単なイントロダクションをご覧ください。
コース開発者より
マルウェアがより複雑になるにつれ、マルウェア解析も複雑になっています。近年、マルウェアの作者は、独創的な回避技術、堅牢なアルゴリズム、弱点を改善するための反復開発などを用いて、危険で検知されないコードの作成を加速させています。熟練したリバースエンジニアは、綿密なコード解析を行うとともに、自動化を用いてコードの層を分解し、リスクの高い機能を特徴付け、難読化された指標を抽出する必要があります
- Anuj Soni
マルウェアの作成者は、データを隠し、コードを不明瞭にし、解析を妨げるために実行を複雑にし、コードを難読化します。マルウェアの作成者は、回避技術やメモリ内実行を利用して検出を妨害し、リバースエンジニアリングの取り組みを複雑にしています。本章では、コードの難読化および実行について詳しく説明するために、まずステガノグラフィを使用して悪意のあるコンテンツを隠す方法について説明します。次に、プログラムの実行における重要なステップを説明し、受講者にコードがどのように起動されるかを認識していただき、各機能にラベル付けを行うことができるようにします。これには、Windowsローダーの確認とPortable Executable(PE)ファイル形式の検査が含まれます。最後に、強力なWindowsデバッガであるWinDbg Previewを活用してシェルコードを解析する方法について説明します。
演習このセクションでは、マルウェアのリバースエンジニアリングにおいて重要な分野である、マルウェアにおける暗号化の使用について取り上げます。暗号技術は、ファイルの暗号化、鍵の保護、コンフィギュレーション設定の隠蔽、コマンド&コントロール(C2)通信の難読化など、さまざまな理由で攻撃者に利用されています。影響力の大きいマルウェアを包括的に調査するためには、熟練したリバースエンジニアが、暗号化を実装するルーチンを調査し、その目的を明確にするための準備を整えておく必要があります。
演習マルウェア解析の自動化
概要このセクションでは、マルウェア解析を自動化するためのスクリプトの書き方について説明します。Pythonスクリプトの主要な側面を紹介し、前のセクションで行った作業のいくつかを自動化するコードを記述します。次に、DBI(Dynamic Binary Instrumentation)フレームワークを紹介し、DBIツールが一般的なリバースエンジニアリングのワークフローをどのように補完し、自動化できるかを検証します。Pythonの知識を応用して、ペイロードと設定を自動的に抽出し、デバッグ作業を加速し、Ghidraを使用して静的コード解析をサポートします。
演習マルウェアとの相関分析とルールの構築
概要相関分析により、マルウェアのサンプル間の類似点と相違点を特定することができます。これにより、コードの再利用を把握し、YARAルールやCAPAルールの作成が容易になり、マルウェア・ファミリーを追跡することができます。相関分析には、単純なハッシュ比較のほか、関数レベルの差異を特定する複雑な試みも含まれます。ここでは、バイナリの差分を取るためのいくつかのアプローチについて説明し、その利点と限界について評価します。
演習高度なマルウェア解析トーナメント
概要このコースの最終セクションでは、CTF(capture the flag)を実施します。CTFのプラットフォームにアクセスし、多肢選択問題や短答式問題の組み合わせに挑戦します。受講者は、授業で学んだ重要なコンセプトを思い出し、技術を駆使してトーナメントを成功させ、ポイントを積み重ねる必要があります。このセクションでは、実際の複雑なマルウェアサンプルを解析し、新しい高度なコード解析技術を強化するための素晴らしい機会を提供します。