ニュースレター登録
資料ダウンロード
お問い合わせ

SECURITY 504

Hacker Tools, Techniques, and Incident Handling

Penetration Testing and Ethical Hacking

English
日程

2022年10月24日(月)~10月29日(土)

期間
6日間
講義時間

1日目:9:00 ~ 19:45
2~6日目:9:30 ~ 17:30

受講スタイル
ハイブリッド (LiveOnlineとOnsiteの同時開催)
会場

◆LiveOnline形式
オンライン

◆Onsite形式
 御茶ノ水トライエッジカンファレンス(https://try-edge.infield95.com/
 東京都千代田区神田駿河台4-2-5 御茶ノ水NKビル(トライエッジ御茶ノ水)11階

GIAC認定資格
GCIH
講師
Shintaro Watanabe|渡辺 慎太郎
NRIセキュア認定 SANSトレーニング・インストラクター
言語
日本語 日本語講座・一部日本語教材
定員
40名
CPEポイント
38 point
受講料

【日本語コース応援キャンペーン価格※】940,000 円(税込み 1,034,000円)

※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

【通常価格】990,000 円(税込み 1,089,000円)

申込締切日
【日本語コース応援キャンペーン価格】2022年9月30日(金)

【通常価格】2022年10月14日(金)
オプション
  • GIAC試験 価格:135,000円(税込み 148,500円)
  • NetWars Continuous 価格:220,000円(税込み 242,000円)
  • 英語教材 価格:40,000円(税込み 44,000円)

※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。

※コース本体のお申し込み後から講義開始までの間に、GIAC試験オプションを追加される場合は、事務手数料10,000円(税込み11,000円)をいただきます。

※講義開始後のGIAC試験のお申込みは、こちらのページ(英語)をご参照のうえ、GIACへ直接お申し込みください。

※講義開始後の英語教材の追加お申し込みは承れませんのでご了承ください。

下のボタンを押すと、NRIセキュアのお申し込みサイトに遷移します。

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

SEC504 PC設定詳細

重要!次の手順に従ってシステムを構成してください。

このコースの全てに参加するためには、適切に設定されたシステムが必要です。この説明をよくお読みになり、それに従っていただかないと、このコースに不可欠なハンズオン演習に参加することができず、満足のいく講義を受けていただくことができません。したがって、このコースで指定されたすべての要件を満たすシステムを用意することを強くお勧めします。

授業の前にシステムのバックアップを取っておくことが重要です。 また、機密データが保存されているシステムは持ち込まないことを強くお勧めします。

ノートパソコンのハードウェア要件

CPU

  • 64ビットインテルi5/i7 2.0GHz以上のプロセッサー
  • 要注意:M1プロセッサを使用したAppleシステムは、現時点では必要な仮想化を実行できないため、このコースには使用できません。
  • システムのプロセッサは、64ビットのIntel i5またはi7の2.0GHzプロセッサ以上である必要があります。Windows 10で確認するには、Windowsキー+「I」を押して「設定」を開き、「システム」、「詳細情報」の順にクリックします。プロセッサの情報は、ページの下部に表示されます。Macで確認するには、ディスプレイの左上にあるAppleロゴをクリックし、「このMacについて」をクリックします。
BIOS
  • "Intel-VT "が有効になっていること
  • インテル社のVTVT-x)ハードウェア仮想化技術は、システムのBIOSまたはUEFIの設定で有効にしてください。講義中、システムのBIOSにアクセスできるようにしてください。BIOSがパスワードで保護されている場合は、そのパスワードを知っている必要があります。これは必ず必要になります。
RAM
  • 16GBRAMを強く推奨します。
    Windows 10上で確認するには、Windowsキー+「I」キーを押して、「システム」、「バージョン情報」(もしくは「詳細情報」)の順にクリックします。
    Macで確認するには、ディスプレイの左上にあるAppleロゴをクリックし、「このMacについて」をクリックします。

ハードドライブの空き容量

  • VMや配布する追加ファイルをホストするためには、100GBのハードドライブの空き容量が必要です。また、仮想マシンを機械式ハードドライブよりもはるかに高速に動作させることができるSSDドライブの使用を強くお勧めします。

オペレーティングシステム

  • 最新のWindows 10macOS 10.15.x以降、またはLinuxを搭載し、以下に説明するVMware仮想化製品をインストールして実行できるシステムであること。

その他のソフトウェア要件

  • VMware Playerのインストール
    VMware Workstation Player 16、VMWare Fusion 12、またはVMware Workstaion  16
    VMware Player 16、VMware Fusion 12、VMware Workstation 16のいずれかをインストールしてください。それ以前のバージョンは、このコースでは使用できません。お使いのホストOSと互換性のあるバージョンを選択してください。VMware Workstation または Fusion のライセンス版をお持ちでない方は、VMware 社から 30 日間の無料試用版をダウンロードできます。VMware社のWebサイトで試用版に登録すると、期間限定のシリアル番号が送られてきます。VMware Workstation Playerは無料でダウンロードでき、商用ライセンスは必要ありませんが、Workstationよりも機能が少なくなっています。Hyper-VやVirtualBoxなどの他の仮想化製品はサポートされておらず、コースの教材では使用できません。

    コースのメディアがダウンロードで配信されるようになりました。授業で使用するメディアファイルは大容量で、40~50GBのものもあります。ダウンロードが完了するまでに十分な時間を確保する必要があります。インターネット接続の速度次第でダウンロードに要する時間は大きく異なり、様々な要因に左右されるため、教材のダウンロードにかかる時間を正確に見積もることはできません。リンクを取得したら、すぐにコースメディアのダウンロードを開始してください。コースメディアは授業初日にすぐに必要になります。授業が始まる前夜になるまでダウンロードを開始するのを待っていると、失敗する可能性が高まります。

    SANSでは、PDF形式のテキストの提供を始めており、さらに、一部のクラスではPDFに加えて電子ワークブックを使用しています。電子ワークブックを使用しているクラスは急速に増えていく見込みです。このような新しい環境では、講師がプレゼンテーションを行っている間、あるいは演習に取り組んでいる間も授業の資料を確認できるようにしておくために、セカンドモニターやタブレット端末を利用すると効率が上がります。

ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)

SEC504 コース概要

最近のクラウドやオンプレミスのシステムでは、侵害を防ぐことが目標とされていますが、実際には検知と対応が重要となります。組織を侵害から遠ざけるには、企業の損失を最小限に抑えるためのインシデント対応をいかにうまく処理するかにかかっています。

SEC504では、インシデント対応にダイナミックなアプローチを適用する方法を学びます。侵害の指標を用いて、Windows、Linux、クラウド・プラットフォームに影響を与える侵害に効果的に対応するための手順を学習します。このコースで得たスキルと実践的な経験を現場に持ち帰り、すぐに適用することが可能です。

インシデントレスポンスを効果的に行うための手順を理解することは、方程式の一部分に過ぎません。インシデントレスポンスを効果的に行うための手順を理解することは、方程式の一部に過ぎません。初期の侵害から内部ネットワークの横展開まで、攻撃者が組織に対して取る行動を完全に把握するためには、攻撃者のツールとテクニックを理解する必要があります。SEC504のハンズオン環境では、攻撃者自身が使用するツールを用いて、その方法や攻撃者が残したアーティファクトを理解することができます。攻撃者の考え方を理解することで、攻撃者がどのように組織に対して取引を行うのかを知ることができ、攻撃者の動きを予測し、より優れた防御策を構築することができます。

SEC504では、以下のことを学びます。

  • インシデントレスポンスにダイナミックなアプローチを適用する方法
  • ホスト、ネットワーク、ログの分析による脅威の特定方法
  • 効果的なクラウドインシデントレスポンスのためのベストプラクティス
  • ライブ解析、ネットワークインサイト、メモリーフォレンジックを用いたサイバー調査プロセス
  • 重要資産を守るための防御スポット戦略
  • エンドポイント検出ツールを回避するための攻撃者のテクニック
  • 複雑なクラウドの脆弱性を悪用する攻撃者の手法
  • 最初の侵害後に横展開するための内部情報を発見するプロセス
  • システムのアクセス制御を回避するための最も効果的な攻撃方法
  • 攻撃者が使う巧妙なテクニックと、それを阻止する方法

受講対象者

  • インシデントハンドリングチームに属する方
  • インシデントハンドリングチームリーダー
  • システムの防御と攻撃への対応の最前線にいるシステム管理者
  • システムが攻撃を受けた時に最初に対応するセキュリティ担当者
  • 攻撃を防止、検知、および対応するためにシステムを設計、構築および運用したい一般的なセキュリティ関係者およびセキュリティアーキテクト

GIAC (Certified Incident Handler)

※SEC504は、GIAC(GCIH)認定試験対象コースです。

GIAC Certified Incident Handler

GIAC Certified Incident Handlerは、コンピュータセキュリティインシデントを検出、対応、および解決するために必要な、幅広いセキュリティスキルを備えた実践者の能力を検証します。
GCIH認証保有者は、一般的な攻撃手法、ベクター、ツールを理解することにより、セキュリティインシデントを管理するために必要な知識を持っているだけでなく、そのような攻撃が発生した場合に防御し、対応します。

  • インシデント対応とコンピュータ犯罪の調査
  • コンピュータ/ネットワークハッカーの悪用
  • ハッカーツール(Nmap、Nessus、Metasploit、Netcat)

コース開発者より

攻撃者のツールとテクニックが変わったので、それに合わせてインシデントレスポンスのテクニックも変える必要があります。2019年にSEC504の著者を引き継いでからは、インシデントレスポンスで成功するために必要なスキルを身につけられるよう、コース全体を書き換えました。攻撃がWindowsを中心としたものであれ、重要なデータベースプラットフォームへの攻撃やクラウドの脆弱性の悪用であれ、攻撃を効果的に特定し、影響を最小限に抑え、効率的に対応するための準備ができます。ハッカーツールやテクニックの知識を持ち、セキュリティを飛躍的に向上させる防御スキルを駆使することで、今日のサイバー脅威に対応するために組織が必要とするサブジェクト・マター・エキスパートとなる準備が整います。
-Joshua Wright


講師のJoshは信じられないほど素晴らしかったです。魅力的で、熱心で、非常に知識が豊富です(特にvim)。彼の熱意は伝染し、教材に対するモチベーションを高めてくれました。これからも素晴らしい仕事を続けてください!
- Jen F., US Federal Agency

  • Day1
  • Day2
  • Day3
  • Day4
  • Day5
  • Day6

インシデントレスポンスとサイバー調査
Incident Response and Cyber Investigations

SEC504の最初のセクションでは、DAIR(Dynamic Approach to Incident Response)を適用して、組織内でインシデント対応プロセスを開発・構築し、脅威を効果的に検証、範囲、封じ込め、評価、修正する方法を学びます。このプロセスは、実際に発生した脅威を題材にした実習や例を用いて詳しく説明していきます。

演習

  • Windowsのライブ調査
  • ネットワーク調査
  • メモリ解析
  • マルウエア解析
  • クラウド調査

トピック

インシデントレスポンス
  • ケーススタディ:アルゴス社
  • インシデントレスポンスのダイナミックアプローチ
  • 調査的な分析 インシデントの証拠を調べる
デジタル調査
  • デジタル調査のテクニック
  • イベントベースのタイムライン作成
  • 調査の効率化:データ削減
ライブレスポンス
  • 怪しいWindowsプロセスの識別
  • ネットワークとパーシスタンスのアクティビティの相関関係
  • Windows自動起動の拡張ポイントの列挙
  • Sysinternalsを利用したWindowsのライブ検査
ネットワーク調査
  • プロキシサーバのログを用いた危険なホストのビーコンの識別
  • ネットワークアクティビティをフィルタリングして侵害の兆候を特定
  • 複数のデータソースを用いた暗号化ネットワークトラフィックの評価
  • インシデントのタイムラインの構築
メモリ解析
  • 侵入されたホストの揮発性メモリの収集
  • 攻撃者のパーシスタンスのオフライン分析の実施
  • Volatilityを使った攻撃者のマルウェアの検査
マルウエア解析
  • カスタムテスト環境での攻撃者のマルウェアの評価
  • スナップショットと連続記録ツールの使用
  • RegShotとProcmonによるマルウェアのアクションの検査
  • Windowsにおける悪意のあるコードの識別
クラウド調査
  • クラウドセキュリティインシデント調査の手順
  • インシデント対応に必要なクラウドロギングアセット
  • 侵害評価のためのデータ収集と隔離
  • インシデント後のクラウド回復と修復の適用
  • 完全なクラウド侵害インシデント対応のウォークスルー
ブートキャンプLinuxオリンピック
  • 自分のペースでコマンドラインのスキルを身につける
  • Linuxファイルシステムとパーミッションの使用
  • JQを使ったJSONデータの解析とフィルタリング
  • grep, cut, awkなどのファイル解析ツールの使用
  • Linuxによるインシデント対応ウォークスルー

情報収集、スキャン、列挙手法
Recon, Scanning, and Enumeration Attacks

このセクションでは、攻撃者が攻撃前のステップとして偵察を行うためのテクニックを見ていきます。これには、オープンソースのインテリジェンス、ネットワークスキャン、ターゲットの列挙攻撃を使用して、ネットワークセキュリティのギャップを見つける方法が含まれます。攻撃者のテクニックを使って、ターゲットネットワークのセキュリティを評価し、Windows、Linux、クラウドのターゲットの一般的なプロトコルやエンドポイントを評価します。攻撃を行った後は、これらの攻撃を認識するために残っているログデータや証拠を調査し、攻撃が行われたことを認識します。

演習

  • SpiderFootによるオープンソース・インテリジェンス
  • ドメイン・ネーム・システム(DNS)の偵察と列挙
  • Nmapによるホスト検出と評価
  • Masscanによるシャドークラウド・アセットの発見
  • Windows Server Message Block(SMB)セッション攻撃
  • Windowsパスワードスプレー攻撃の検出

トピック

MITRE ATT&CK Frameworkの解説
  • ATT&CKを利用したインシデントレスポンス調査の実施
  • 攻撃手法への変化に対応する
  • ATT&CKを脅威インテリジェンスに活用する
オープンソース・インテリジェンス
  • 検知されずにターゲットを列挙
  • ドメインと公開認証局のデータによるホストの識別
  • ユーザーアカウントの侵害評価
  • SpiderFootによるオープンソースの情報収集の自動化
DNS Interrogation
  • 組織データのためのパブリックDNSサーバのマイニング
  • dns-bruteによるホスト列挙の自動化
  • 攻撃を特定するためのDNSサーバーログ検査
  • 手動および自動ツールによるクリエイティブなホストの識別
ウェブサイトの偵察
  • 公共のウェブサイトからの情報収集
  • 公開文書からのEXIF(Exchangeable Image File Format)データの解析
  • 検索エンジンからの情報収集の最適化
  • 公開ソースを利用した攻撃識別の抽象化
  • Webサイトの機密データ公開の制限
Nmapによるネットワークとホストのスキャン
  • Nmapによるホストの列挙と発見
  • 内部および外部ネットワークのマッピングと可視化
  • ネットワークアクティビティを最小化して検出を回避
  • Nmap Scripting Engineツールによるディープホストアセスメント
クラウドスキャン
シャドークラウドのターゲットを列挙
  • Masscan によるスキャンの高速化
  • ウォークスルー:ターゲット発見のための Amazon Web Services のスキャン
  • クラウド ホストのターゲット組織への帰属
  • EyeWitnessによる識別されたターゲットの視覚的表示
Server Message Block (SMB) セッション
  • Windows SMBの理解:必須のスキルアップ
  • Windowsに対するSMB攻撃を特定する
  • SMBパスワード推測攻撃のための組み込みツールの使用
  • SharpViewとBloodHoundを使ったWindowsドメインの列挙
  • SMBのセキュリティ機能を理解する
DeepBlueCLI
  • Windowsイベントログによる攻撃の特定
  • 偽陽性から攻撃を区別
  • 不正行為を特定するためのリモートホスト評価
  • インシデント分析を開始するための迅速な評価のヒント

パスワード攻撃と不正アクセス
Password and Access Attacks

パスワード攻撃は、攻撃者が防御を回避して組織の資産にアクセスするための最も確実なメカニズムです。このコースでは、パスワードや多要素認証の弱点を突いて、得られたアクセスを使って他のネットワークターゲットにアクセスする複雑な攻撃を調査します。

演習

  • Hydraでのオンラインパスワード推測攻撃
  • John the Ripperを使ったパスワードクラック
  • Hashcatを使った効果的なパスワードクラック
  • ドメインパスワード監査ツール
  • クラウドバケットの発見
  • Netcatのさまざまな使い方

トピック

パスワード攻撃
  • パスワード攻撃の3種の神器:推測、スプレー、クレデンシャルスタッフィング
  • パスワード攻撃の防御策を回避するテクニック
  • 実世界の認証攻撃を理解する
パスワードハッシュの理解
  • Windowsのパスワードハッシュ形式の弱点
  • Windows、Linux、クラウドを対象としたパスワードハッシュの収集
  • scryptとArgon2によるGPUベースのパスワードクラッキングの緩和
パスワードクラッキング攻撃
  • John the RipperとHashcatによるハッシュからのパスワードの復元
  • GPUとクラウドアセットによるパスワードクラッキングの高速化
  • パスワード・ポリシー・マスクによる効果的なクラッキング
  • 多要素認証とパスワードクラッキングの影響
Domain Password Audit Tool(DPAT)
  • DPATによる防御機会としてのパスワードクラッキング
  • セキュリティ分析のためのWindowsドメインハッシュの収集
  • パスワード選択におけるシステム上の脆弱性の特定
  • パスワード選択時の不具合を安全に報告する
安全でないストレージ
  • ケーススタディ:クラウドバケットストレージの公開
  • Amazon Web Services、Azure、および Google Compute のクラウドストレージについて
  • 安全でないバケットストレージの発見
  • チュートリアル:安全でないストレージによるウェブサイトの永続性の侵害
  • 安全でないクラウドストレージへのアクセスの確認
多目的なnetcat
  • 監視制御を逃れるための内部データ転送
  • ピボットと横方向への移動
  • LinuxおよびWindowsにおけるリスナーおよびリバースTCPバックドア
  • 攻撃者のコンプロマイズ後のテクニックを詳しく紹介

外部からの攻撃とDrive-By攻撃
Public-Facing and Drive-By Attacks

このセクションでは、公開サーバの脆弱性やクライアント側の脆弱性を利用した標的搾取フレームワークを紹介します。公開されているウェブサイトの暗黙の信頼性を利用して、ブラウザの脆弱性を利用したり、Microsoft Officeドキュメントでコードを実行したり、脆弱なウェブアプリケーションに関連する多くの脆弱性を利用したりするために、攻撃者のツールやテクニックを適用していきます。

演習

  • Metasploitによる攻撃と分析
  • Browser Exploitation Framework (BeEF)によるクライアントサイドエクスプロイト
  • Windowsシステムリソース使用量データベース解析
  • コマンドインジェクション攻撃
  • クロスサイトスクリプティング攻撃
  • SQLインジェクション攻撃
  • サーバーサイドリクエストフォージェリ(SSRF)およびインスタンスメタデータサービス(IMDS)攻撃

トピック

Metasploit Framework
  • Metasploitを使ったエクスプロイトの識別、設定、配信
  • 防御を回避しながらアクセスを許可するペイロードの選択
  • コマンド&コントロール(C2)被害者アクセスの確立と使用
  • インシデント対応のためのMetasploitおよびMeterpreterのフィンガープリントの識別
Drive-By Attack
  • フィッシングと不正なMicrosoft Officeファイル
  • ウォータリングホールを利用した被害者のブラウザへの攻撃
  • ケーススタディ:ウォータリングホールを利用した制御システムへの攻撃(フォーラムへの侵入)
  • 効果的な攻撃のための拡張可能なペイロードの構築
  • 防御を回避するためのエクスプロイトのカスタマイズ
ディフェンススポットライト:システムリソース利用量モニタ(SRUM)
  • インシデント対応におけるWindows診断の活用
  • Windowsに組み込まれたデータを使ってインシデントのネットワーク活動を評価する
  • ケーススタディ データ窃盗と解雇された従業員のワークステーションの分析
コマンドインジェクション
  • コマンドインジェクションによるウェブサイトの危険性
  • ウォークスルー:Falsimentisコミュニティサービスのウェブサイトへの攻撃
  • Webサイト以外のターゲットへのコマンドインジェクションの適用
  • コマンド・インジェクションによるアクセス・エンメレーション攻撃
  • コマンド・インジェクションの欠陥に関するウェブアプリケーションの監査
クロスサイトスクリプティング(XSS)
  • サーバーの欠陥を利用して被害者のブラウザを利用する
  • XSSタイプの分類によるオポチュニスティック攻撃とターゲット攻撃
  • クッキーの盗用、パスワードの盗用、カメラやマイクを使った攻撃
  • コンテンツ・セキュリティ・ポリシー(CSP)によるXSS対策
SQLインジェクション
  • SQL構造と開発者エラーの理解
  • SQLインジェクションによるデータの抽出
  • Sqlmapを使った脆弱性発見の自動化
  • クラウドデータベースに対するSQLインジェクション リレーショナル・データベース・サービス(RDS)、スパナ、Azure SQL
SSRFとIMDSの攻撃
  • サーバーサイドリクエストフォージェリの脆弱性を特定する
  • 一般的なリクエストとサーバーサイドリクエストの違い
  • ウォークスルー:FalsimentisフェデレートSSO攻撃
  • IMDS攻撃によるクラウドの鍵の取得

回避と侵入後の攻撃
Evasion and Post-Exploitation Attacks

パスワード攻撃、パブリック・フェイシング攻撃、ドライブ・バイ攻撃をベースに、最初の搾取の後に起こる攻撃を見ていきます。攻撃者がエンドポイントプロテクションシステムを回避し、初期の足場を利用して内部ネットワークターゲットにアクセスする方法を見ていきます。次に、特権的な内部者によるローカルエリアネットワーク(LAN)攻撃、特権的なアクセスを使用してパーシステンスを確立する方法、攻撃者が侵害された組織をスキャンしてデータを収集する方法など、学んだ技術を応用します。これらの技術を応用して、可視化と自動化された評価技術により、脆弱なクラウド展開のセキュリティリスクを評価します。最後に、コース終了後の手順を見て、学んだことを長期的なスキルに変え、認定試験の準備に役立てます。

演習

  • Metasploitによるピボットとラテラル・ムーブメント
  • responderによるインサイダー攻撃
  • Windowsのデータハイディング 代替データストリーム
  • Metasploitによる持続性の確立
  • RITA(Real Intelligence Threat Analytics)によるネットワーク脅威のハンティング
  • ScoutSuiteによるクラウド構成の評価
  • Ankiを使ったレビューカードの作成

トピック

エンドポイントセキュリティ製品の回避
  • シグネチャ検出を回避するためのゴーストライティングの適用
  • アプリケーションセーフリスト制御の回避
  • エンドポイント制御を回避するための署名付き実行ファイルの使用
  • エンドポイント検出および応答(EDR)プラットフォームから最大限の価値を得るために
ピボッティングと横展開
  • Metasploitの機能を利用した横方向への移動
  • ピボットによる攻撃者検知の回避
  • LinuxとWindowsの機能を利用した高度なエクスプロイト
  • コマンド&コントロール(C2)による内部への特権的アクセス
ハイジャック攻撃
  • 特権付きLANアクセスの悪用
  • Windowsデフォルトの脆弱なプロトコルへの攻撃
  • LANでのパスワードハーベスティング
足跡隠ぺい
  • WindowsおよびLinuxにおける収集データの隠蔽
  • シンプルなログフォーマットから複雑なログフォーマットまでのログ編集テクニック
  • 改ざんされないログプラットフォームの構築
永続性の確立
  • Windowsのサイレントプロセス終了を利用する
  • Windows Management Instrumentation (WMI) Event Subscriptionの永続化技術
  • Windows Active Directoryの悪用 ゴールデンチケット攻撃
  • Webシェルアクセスとマルチプラットフォームでのパーシステンス
  • Azure、Amazon Web Services、Google Computeにおけるクラウドキーとバックドアアカウント
ディフェンススポットライト:Real Intelligence Threat Analytics (RITA)
  • ネットワーク解析による脅威の発見
  • ネットワーク上のビーコンとC2の識別
  • ネットワークの奇妙な点を特徴づける 長い接続
  • DNSの流出とアクセス攻撃の捕捉
データ収集
  • LinuxとWindowsの搾取後のパスワードハーベスティング
  • 検知制御を回避する ミミカッツ(Mimikatz
  • WindowsおよびmacOSのパスワードマネージャへの攻撃
  • キーストロークのロギング攻撃
クラウドエクスプロイト
  • クラウド環境での特権の列挙とエスカレーション
  • Azureにおけるステルス性バックドアの特定
  • クラウド攻撃フレームワークの利用 PacuとGCP PrivEsc
  • ケーススタディ:Google Computeにおけるデータベースダンピングへのアクセス
  • データアクセスのための組み込みツール Microsoft 365 Compliance Search
  • クラウド展開の脆弱性を評価する
コース終了後のゴールは?
  • 長期的なリコールと記憶保持を開発するためのヒント
  • Ankiを使ったペースドリピート理論の応用
  • モチベーションを維持し、スキルアップのための時間を確保する
  • 認定試験に合格するための推奨事項

Capture the Flagイベント
Capture the Flag Event

当社のCapture-the-Flagイベントは、最近不正アクセスを受けた架空の企業であるISS Playlistのコンサルタントとして働く、終日の実践的な活動です。このイベントでは、攻撃者が現代の高度なネットワーク環境を侵害するために使用しているのと同じ技術を用いて、クラスで学んだすべてのスキルを適用します。チームまたは個人で、Windows、Linux、Internet of Things(モノのインターネット)デバイス、クラウドのターゲットなど、サイバーな範囲のターゲットシステムに対して、スキャン、エクスプロイト、エクスプロイト後のタスクを行います。この実践的な課題は、プレイヤーがスキルを実践し、コースを通して学んだコンセプトを強化できるように設計されています。このイベントでは、成功に必要なオンデマンドのガイダンスを提供する統合ヒントシステムにより、ターゲットシステムの侵害、エンドポイントプロテクションプラットフォームのバイパス、内部ネットワークの高価値ホストへのピボット、企業データの流出を成功させるためのステップをガイドします。

トピック

  • ターゲットの発見とエニュメレーション
  • オープンソース・インテリジェンスの活用と偵察情報の収集
  • 公開された資産の危殆化
  • 電子メールの危殆化
  • Windows Active Directoryへの攻撃
  • パスワード・スプレー、推測、およびクレデンシャル・スタッフィング・アタック
  • 搾取後のピボットとラテラルムーブメント
  • エクスプロイトの選択、設定、配信
  • 内部攻撃者のコンプロマイズ アトリビューション

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。