NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Ransomware for Incident Responders
Digital Forensics and Incident Response
English2023年10月16日(月)~10月19日(木)
1日目:9:00-17:30
2日目~4日目:9:30-17:30
オンライン
早期割引価格:900,000 円(税込み 990,000円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。
通常価格:990,000円(税込み 1,089,000円)
※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
重要 この説明書に従って設定したシステムを持参してください。
このコースに完全に参加するためには、適切に設定されたシステムが必要です。この説明をよく読み、それに従わなければ、コースの実習に十分に参加することができません。従って、指定された要件をすべて満たすシステムでご出席ください。
授業の前にシステムをバックアップしてください。より良い方法は、機密データやクリティカルなデータのないシステムを使用することです。SANSはあなたのシステムやデータに対して責任を負いません。
コースのメディアはダウンロードで配信されます。授業で使用するメディアファイルの容量は大きくなります。多くは40~50GBの範囲で、中には100GBを超えるものもあります。ダウンロードが完了するまでに十分な時間を確保する必要があります。インターネット接続と速度は大きく異なり、さまざまな要因に左右されます。そのため、教材のダウンロードにかかる時間の見積もりはできません。リンクを入手したら、すぐにコース・メディアのダウンロードを開始してください。授業初日にはすぐに教材が必要になります。授業の前夜までダウンロードを始めないでください。
教材には「セットアップ手順」が含まれており、ライブ・クラスやオンライン・クラスに参加する前に行うべき重要な手順が記載されています。これらの手順を完了するには、30分以上かかる場合があります。
あなたのクラスでは、ラボの指示に電子ワークブックを使用します。この新しい環境では、2台目のモニターおよび/またはタブレット端末が、コースのラボで作業している間、授業資料を見えるようにしておくのに便利です。
ノートパソコンの仕様についてご質問がある場合は、laptop_prep@sans.org までご連絡ください。
人為的に操作されるランサムウェアの脅威を完全に阻止する方法を学ぶ!
「ランサムウェア」という用語は、もはやリソースをロックダウンする単純な暗号化ツールを指すものではありません。Ransomware-as-a-Service (RaaS)の進化とともに、Human-Operated Ransomware (HumOR)が登場したことで、ハンズオン・ザ・キーボードや綿密に計画された攻撃キャンペーンで繁栄するエコシステム全体が形成されました。HumORは急速に成長している脅威であり、不用意なマウスクリックによる1台のマシンへの感染から、大小を問わずネットワークを麻痺させることができる急成長中の企業へと発展している。
組織はこのような攻撃によってデータや情報を失うリスクにさらされており、収益の損失、風評被害、従業員の時間や生産性の窃取、正常な機能の停止につながる可能性があります。現在、このような大規模で巧妙な攻撃では、ランサムウェアの実行者がまずターゲット上で永続性を確立してツールを実行し、次に組織全体に横方向に移動して最終的にデータを流出させてからランサムウェアのペイロードを展開するのが一般的です。
2022年にランサムウェア関係者への支払いは以前に比べて鈍化したとはいえ、同年にはランサムウェアに関連する恐喝サイトへの投稿が2,600件以上あった。この数には、公に通知される前に水面下でコミュニケーションや交渉を通じて解決された未知数のインシデントは含まれていません。2022年に報告されたインシデントのうち、被害額の上位10セクターは以下の通りである(ecrime.chによる統計):
このコースでは、ランサムウェアの準備、検知、駆除、対応、事後処理など、ランサムウェアの具体的な対処方法を学びます。このコースでは、実際のデータを使用した実践的なアプローチで学習するのが特徴で、1日かけて行われるCapture the Flagの課題も含まれており、学習内容を定着させるのに役立ちます。この4日間のクラスでは、収集すべき成果物、収集方法、収集努力のスケールアウト方法、データの解析方法、解析された結果を集計してレビューする方法について学びます。
またランサムウェア攻撃のライフサイクルの各フェーズについて、検出方法とともに詳細な情報を提供します。これらのフェーズには、初期アクセス、実行、防御回避、持続性、Active Directoryへの攻撃、特権の昇格、クレデンシャルアクセス、横方向への移動、データアクセス、データ流出、ペイロードの展開が含まれます。
残念ながら、多くの企業がランサムウェア攻撃の犠牲になっている。中小企業であろうと大企業であろうと、インターネットに接続されたネットワークはすべて危険にさらされており、その脅威はすぐにはなくならない。
今こそ、ランサムウェアに積極的に対処する時だ!
SANSのラボは、コースのコンセプトと学習目標を強化するための実践的な経験を提供します。このコースには、実践的な環境でスキルを身につけるために、教材に直接結びついたステップバイステップの電子ワークブックによるラボの説明が含まれています。
ラボ0:仮想マシンのセットアップ
ラボ1.1:RaaSエコシステム(RAASNet)の分析
ラボ1.2:遺物の入手と分析
ラボ1.3:スケールでの分析:タイムスケッチ
ラボ1.4:スケールでの分析:Kibana
ラボ2.1:ハンティングRDPアクティビティ
ラボ2.2:感染ベクターを見つける
ラボ2.3:PowerShellスクリプティング:敵であって味方ではない
ラボ2.4:横方向の動きを確認する
ラボ3.1:データアクセスと持ち出しの特定
ラボ3.2:コバルト・ストライク・ペイロードの解読
ラボ3.3:TAのツールボックスを検出する
4日目:FOR528キャプチャ・ザ・フラッグ・チャレンジ
インシデントレスポンス(IR)のバックグラウンドがあることを推奨します。このコースは、ランサムウェア攻撃に対応する必要があるインシデント対応者を対象としています。したがって、IR の経験、または SOC や CIRT 内で習得したような少なくともアラートトリアージの経験があることが推奨されます。さらに、FOR500 で学習するような Windows アーティファクトの識別と分析の経験も推奨します:Windows のフォレンジック分析最後に、正規表現(regex)に精通し、一般的な SIEM の使用経験があることを推奨します。 これらの項目はすべてコースでカバーされるが、一般的な考え方は、インシデントを経験することだ。
ランサムウェアはユビキタスになっている。ランサムウェアの災禍を世界から取り除くために私たちがいくら組織化しても、ランサムウェアはより一般的になり、脅威行為者はますます大胆になり、組織はこれらの攻撃の圧力に屈し続けている。幸いなことに、ランサムウェアの攻撃者が攻撃を成功させる主な方法には、「セキュリティ101」の実践における一般的な失敗が関わっている。私たちが協力し合えば、これらは修正することができる!それまでは、私たちセキュリティ実務者は、このような脅威にどのように対応すべきかを知っておく必要があります。あなたとあなたの組織は、何をどのように収集し、そのデータをどのように解析し、そのデータをどのように迅速かつ効率的に分析するかを知る必要がある。このようなことが、私たちのコースの目標です。
- Ryan Chapman
以下のセクションでは、検知とハンティングの方法とともに、ツールやプロセスについて詳しく説明する:
次のセクションでは、マイクロソフトのActive Directory(AD)に対する攻撃を取り上げます。ランサムウェアの運営者はADを攻撃するのが大好きなので、ADの設定が不十分であることを利用して特権をエスカレートさせ、認証情報にアクセスするさまざまな方法を紹介します。
セクション3では、ランサムウェア攻撃のライフサイクルにおいて、より重要なセクションの1つである「データアクセスとデータ流出」を取り上げます。組織は通常、どのようなデータがアクセスされたのか、あるいは盗まれたのかを知りたがります。私たちは、これらの活動を促進するツールを狩る方法を含め、データのアーカイブとステージング方法をカバーしています。FTPが一般的な流出経路であることを信じられますか?どのようなデータが流出しているのかわからなくても、どのようにすれば流出したデータを検知できるのでしょうか?私たちはそれをお見せします!
その後、ランサムウェア攻撃の最終段階であるペイロードの展開と暗号化の内部構造に移ります。バックアップとリカバリーの改ざんについて、ランサムウェアの実行者がバックアップシステムを攻撃する方法とともに学びます。行為者がその痕跡を隠す方法は明白に見えるかもしれません!最後に、最も一般的なペイロードの展開方法に関する技術的な詳細を説明します。
そして、敵対者のエミュレーションと攻撃シミュレーション・ツールであり、おそらくその仕事が上手すぎるようになった Cobalt Strike(CS)の詳細なレビューに軸足を移す。侵入テスト担当者やレッドチームなど、世界中の多くのセキュリティ専門家がCSに依存している。残念ながら、ランサムウェア攻撃の非常に高い割合で、この非常に強力な商用ツールが使用されています。このツールのインフラストラクチャ、Malleable C2プロファイル、ペイロードの検出/難読化手法などについて学びます。このモジュールには、CSペイロードのデコードを学ぶ実習ラボが含まれています。
次の章では、暗号化されそうな場合、現在暗号化されている場合、あるいは最近暗号化された場 合に何をすべきかを説明する。特に時間的な要件に注意を払いながら、連絡する必要のある組織、関与する必要のある部署、導入する必要のあるプロセスなど、あなたが取るべき行動を取り上げます。時間は刻一刻と迫っている!最後に、リネームされた実行可能ファイル、ディレクトリ分析による悪意のあるファイル/プロセス、アンチウイルス・ログ分析による一般的な攻撃の特定など、ハンティング手法を取り上げます。ここでは、組織を監視するための最善の方法を紹介します。
ランサムウェアインシデントに対応するための準備として、経験以上のものはありません。ランサムウェアの感染経路から、環境内で実行される暗号化ペイロードに至るまで、ランサムウェアのインシデントを分析します。このCTFチャレンジでは、ランサムウェアの感染経路から、環境内で実行される暗号化ペイロードに至るまで、インシデントを分析します。私たちは、Samaran Protectという被害者組織を作成しました。私たちのCTFチャレンジは、被害者の組織に対する特別に作成された攻撃シナリオに関する70以上の質問で構成されています。ターゲットとなる被害者のネットワークには、3 つの VLAN を持つ 16 台のホストが含まれています:
これらの攻撃を実行するために、私たちは2つの異なるランサムウェアグループを考案しました。各グループは、現在稼働しているランサムウェア脅威グループの集合体です。活用した戦術、技術、手順(TTP)は、ランサムウェアイベントに対応する人々が日々目にする現実世界のシナリオを反映したものです。各シナリオに関与する行為者は、異なる侵入方法、クレデンシャル・アクセス方法、ツール、展開方法、暗号化ペイロードを使用します。
さらに、各シナリオは異なるタイプの環境を模倣している:被害者である組織がインシデント対応に役立つフォレンジックデータを意図的に収集していない場合と、被害者が十分な手段を講じ、何事にも備えている場合である。あなたの組織が、インシデント発生後にすべてのアーティファクトの収集と解析を開始する必要がある場合でも、データロギングを強化して本格的なSIEMを活用する場合でも、キャップストーンで取り上げた方法は、あなたの組織の方法と能力に関連付けるのに役立ちます。
解析されたフォレンジック・アーチファクトとログを丸一日かけて分析し、2つの個別のシナリオを使用して、あらゆるランサムウェアインシデントで一般的な質問に答えます。
シナリオ1:「BlueLocker」ランサムウェア
シナリオ2:「Balrog」ランサムウェア