ニュースレター登録
資料ダウンロード
お問い合わせ

FORENSICS 528

Ransomware and Cyber Extortion

※本コースは中止となりました。次回開催をお待ちください。

Digital Forensics and Incident Response

English
日程

2024年10月28日(月)~2024年10月31日(木)

期間
4日間
講義時間

1日目:9:00-17:30
2日目~4日目:9:30-17:30

受講スタイル
Live Online
会場

◆LiveOnline形式
 オンライン

GIAC認定資格
-
講師
Ryan Chapman|ライアン チャップマン
SANS認定インストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
24 Points
受講料

早期割引価格:990,000 円(税込み 1,089,000 円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

通常価格:1,090,000円(税込み 1,199,000 円)

申込締切日
早期割引価格:2024年9月13日(金)
通常価格:2024年10月18日(金)
オプション
  • OnDemand  160,000円(税込み 176,000円)
  • NetWars Continuous  270,000円(税込み 297,500円)

※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

FOR528 PC設定詳細

重要 この説明書に従って設定したシステムを持参してください。

このコースに完全に参加するためには、適切に設定されたシステムが必要です。この説明をよく読み、それに従わなければ、コースの実習に十分に参加することができません。従って、指定された要件をすべて満たすシステムでご出席ください。

授業の前にシステムをバックアップしてください。より良い方法は、機密データやクリティカルなデータのないシステムを使用することです。SANSはあなたのシステムやデータに対して責任を負いません。

ノートパソコンのハードウェア要件

  • CPU 64ビットIntel i5/i7(第8世代以降)、またはAMD同等品。このクラスでは、64ビット、2.0GHz以上のプロセッサーが必須。
  • 重要: Appleシリコンを搭載したデバイスは必要な仮想化を行うことができないため、このコースでは一切使用できません。
  • 「Intel-VTx」や「AMD-V」拡張機能など、仮想化技術を有効にするためのBIOS設定が必要です。変更が必要な場合に備えて、BIOSがパスワードで保護されている場合は、絶対にアクセスできるようにしてください。
  • 16GB以上のRAMが必要です。
  • 200GB以上のストレージ空き容量が必要です。
  • 利用可能なUSB 3.0 Type-Aポートが1つ以上あること。新しいノートパソコンには、Type-CからType-Aへのアダプタが必要な場合があります。エンドポイントプロテクションソフトウェアの中にはUSBデバイスの使用を禁止しているものもありますので、授業前にUSBドライブでシステムをテストしてください。
  • ワイヤレスネットワーク(802.11規格)が必要です。教室では有線のインターネット接続はできません。

 

ホスト構成およびソフトウェア要件

  • ホストOSは、Windows 10、Windows 11、またはmacOS 10.15.x以降の最新バージョンである必要があります。
  • 正しいドライバとパッチがインストールされていることを確認するため、授業前にホストOSを完全にアップデートしてください。
  • Linuxホストはバリエーションが多いため、教室ではサポートしていません。Linuxをホストとして使用する場合、コース教材および/またはVMと連動するように設定する責任は各自にあります。
  • ローカル管理者アクセスが必要です。(これは絶対に必要です。ITチームにそうでないと言わせないでください)。受講期間中、会社がこのアクセスを許可しない場合は、別のノートパソコンを持参するよう手配してください。
  • ウイルス対策ソフトやエンドポイント保護ソフトが無効になっていること、完全に削除されていること、またはそのための管理者権限を持っていることを確認してください。私たちのコースの多くは、オペレーティングシステムへの完全な管理者アクセスを必要とし、これらの製品はラボの達成を妨げる可能性があります。
  • 退出トラフィックのフィルタリングは、あなたのコースのラボの達成を妨げる可能性があります。ファイアウォールは無効にするか、無効にするための管理者権限を持ってください。
  • VMware Workstation Pro 16.2.X+またはVMware Player 16.2.X+(Windows10ホスト用)、VMware Workstation Pro 17.0.0+またはVMware Player 17.0.0+(Windows11ホスト用)、VMWare Fusion Pro 12.2+またはVMware Fusion Player 11.5+(macOSホスト用)をクラス開始前にダウンロードし、インストールしてください。VMware Workstation ProまたはVMware Fusion Proのライセンスをお持ちでない方は、VMwareから30日間の無料トライアル版をダウンロードできます。VMwareのウェブサイトからトライアルに登録すると、期間限定のシリアル番号が送られてきます。また、VMware Workstation PlayerはVMware Workstation Proよりも機能が少ないことに注意してください。Windowsホスト・システムを使用している場合は、よりシームレスな学生体験のためにWorkstation Proをお勧めします。
  • Windowsホストでは、VMware製品はHyper-Vハイパーバイザーと共存できない場合があります。VMwareが仮想マシンを起動できることを確認してください。そのためには、Hyper-Vを無効にする必要があります。Hyper-V、Device Guard、およびCredential Guardを無効にする方法は、コース教材に付属のセットアップ・ドキュメントに記載されています。
  • 7-Zip (Windows ホスト用) または Keka (macOS ホスト用) をダウンロードしてインストールします。これらのツールもダウンロードしたコース教材に含まれています。

 

コースのメディアはダウンロードで配信されます。授業で使用するメディアファイルの容量は大きくなります。多くは40~50GBの範囲で、中には100GBを超えるものもあります。ダウンロードが完了するまでに十分な時間を確保する必要があります。インターネット接続と速度は大きく異なり、さまざまな要因に左右されます。そのため、教材のダウンロードにかかる時間の見積もりはできません。リンクを入手したら、すぐにコース・メディアのダウンロードを開始してください。授業初日にはすぐに教材が必要になります。

教材には「セットアップ手順」が含まれており、ライブ・クラスやオンライン・クラスに参加する前に行うべき重要な手順が記載されています。これらの手順を完了するには、30分以上かかる場合があります。

あなたのクラスでは、ラボの指示に電子ワークブックを使用します。この新しい環境では、2台目のモニターおよび/またはタブレット端末が、コースのラボで作業している間、授業資料を見えるようにしておくのに便利です。

ノートパソコンの仕様についてご質問がある場合は、laptop_prep@sans.org までご連絡ください。

FOR528 コース概要

人為的に操作されるランサムウェアの脅威を完全に阻止する方法を学ぶ!

「ランサムウェア」という用語は、もはやリソースをロックダウンする単純な暗号化ツールを指すものではありません。Ransomware-as-a-Service (RaaS)の進化とともに、Human-Operated Ransomware (HumOR)が登場したことで、ハンズオン・ザ・キーボードや綿密に計画された攻撃キャンペーンで繁栄するエコシステム全体が形成されました。HumORは急速に成長している脅威であり、不用意なマウスクリックによる1台のマシンへの感染から、大小を問わずネットワークを麻痺させることができる急成長中の企業へと発展している。

組織はこのような攻撃によってデータや情報を失うリスクにさらされており、収益の損失、風評被害、従業員の時間や生産性の窃取、正常な機能の停止につながる可能性があります。現在、このような大規模で巧妙な攻撃では、ランサムウェアの実行者がまずターゲット上で永続性を確立してツールを実行し、次に組織全体に横方向に移動して最終的にデータを流出させてからランサムウェアのペイロードを展開するのが一般的です。

2022年にランサムウェア関係者への支払いは以前に比べて鈍化したとはいえ、同年にはランサムウェアに関連する恐喝サイトへの投稿が2,600件以上あった。この数には、公に通知される前に水面下でコミュニケーションや交渉を通じて解決された未知数のインシデントは含まれていません。2022年に報告されたインシデントのうち、被害額の上位10セクターは以下の通りである(ecrime.chによる統計):

  • 建設
  • 病院とヘルスケア
  • 政府管理
  •  ITサービスとITコンサルティング
  • 法律実務
  • 自動車
  • 金融サービス
  • 高等教育
  • 保険
  • 不動産

このコースでは、ランサムウェアの準備、検知、駆除、対応、事後処理など、ランサムウェアの具体的な対処方法を学びます。このコースでは、実際のデータを使用した実践的なアプローチで学習するのが特徴で、1日かけて行われるCapture the Flagの課題も含まれており、学習内容を定着させるのに役立ちます。この4日間のクラスでは、収集すべき成果物、収集方法、収集努力のスケールアウト方法、データの解析方法、解析された結果を集計してレビューする方法について学びます。

またランサムウェア攻撃のライフサイクルの各フェーズについて、検出方法とともに詳細な情報を提供します。これらのフェーズには、初期アクセス、実行、防御回避、持続性、Active Directoryへの攻撃、特権の昇格、クレデンシャルアクセス、横方向への移動、データアクセス、データ流出、ペイロードの展開が含まれます。

残念ながら、多くの企業がランサムウェア攻撃の犠牲になっている。中小企業であろうと大企業であろうと、インターネットに接続されたネットワークはすべて危険にさらされており、その脅威はすぐにはなくならない。

今こそ、ランサムウェアに積極的に対処する時だ!

インシデント対応者のためのランサムウェア コースのトピック

  • ランサムウェアの進化と歴史
    • 初めて認知されたランサムウェア攻撃
    • 人間が操作するランサムウェア(HUMOR)
    • ランサムウェア・アズ・ア・サービス(RaaS)
  • ランサムウェアのインシデントレスポンスに不可欠なWindowsフォレンジックの成果物:
    • Windowsイベントログ
    • シェルバッグ
    • シムキャッシュ
    • システムリソース使用状況モニター(SRUM)
    • Windows New Technology File System (NTFS) メタデータの解析
    • SANS Windows Forensic Analyis のポスターに記載されているアーティファクト。
  • 証拠収集ツールとテクニックフォレンジック・アーティファクトの解析
  • 解析されたデータをSIEMに取り込む
  • TimeSketchとKibanaによるSIEM/アグリゲータ・データの分析
  • 初期アクセス
    • リモートデスクトッププロトコル(RDP)
    • フィッシング
    • ソフトウェアの脆弱性
  • 実行と防御回避
    • 脅威行為者のツール
    • セキュリティ・ツールのバイパス方法とスクリプト
    • ネイティブの実行方法
    • スクリプト・エンジンの悪用とスクリプトの難読化解除
  • 永続性
    • コマンド&コントロール(C2)フレームワークとリモート監視・管理(RMM)
    • ポストエクスプロイト・フレームワーク
    • Windowsネイティブの永続化メカニズム
  • コバルト・ストライク
    • アーキテクチャ、コンポーネント、およびペイロード
    • 恐喝脅威行為者によるアクセスと使用
  • 特権の昇格とクレデンシャル・アクセス
    • よく狙われるアカウントとアクセス方法
    • ユーザーアカウント制御(UAC)バイパス
    • LSASSとNTDS.dit攻撃
  • ラテラルムーブメント
    • RDP
    • SMB
    • WinRM
  • Active Directory攻撃
    • Active DirectoryとKerberosの概要
    • AD列挙
    • ケルベロースティング
    • AS-REP焙煎
    • DCSync攻撃
  •  データ・アクセス
    • ネットワーク共有の列挙とアクセス
    • 削除されたファイルを含むファイル/フォルダへのアクセス
    • レジストリ分析
  • データ流出
    • アーカイブの作成とデータのステージング
    • データ流出経路
  • バックアップとリカバリーの改ざん
  • ペイロード展開
  • ソースコードレビューを含む暗号化仕様
  • 復号機
    • アクティブな脅威への対処
  • 暗号化前、暗号化中、暗号化後
  • 狩猟方法と技術

お知らせ

複数コースのライブトレーニングイベントの場合、授業時間を最大限に活用するために、コンピュータが正しく設定されていることを確認するため、初日に8:30~9:00のセットアップ時間があります。受講生は全員参加することを強くお勧めします。

ランサムウェアとサイバー恐喝とは?

ランサムウェアのインシデントは、通常、データを流出させ、リソースを暗号化する目的で環境に侵入するのに対し、サイバー恐喝グループは同じタイプの攻撃を行いますが、環境を暗号化することはありません。要するに、暗号化を伴わない一般的なランサムウェアのTTP/IOCに従ったインシデントは、単にサイバー恐喝と呼ばれることが多いのです。

ビジネスにおけるメリット

  • ランサムウェアはどのように進化し、主要なビジネスとなったのか?
  • 人為的に操作されるランサムウェア(HumOR)のオペレーターは、いかにして調整された攻撃チームへと進化したのか?
  • 誰が、どのような組織がランサムウェアの被害に遭うリスクが最も高いのか
  • ランサムウェアの運営者はどのようにして "被害者 "の環境に侵入するのか?
  • HUMORの脅威から組織を守る最善の方法
  • ランサムウェア攻撃中に侵入し、侵入後の活動を行うためにHumORのオペレーターがよく使用するツールを特定する方法
  • ネットワーク内のランサムウェア運営者を探し出す方法
  • 環境内でランサムウェアが活発に動作している場合の対応方法
  • ランサムウェア攻撃後に取るべき措置
  • データアクセスと流出を特定する方法

ハンズオン・ラボ

SANSのラボは、コースのコンセプトと学習目標を強化するための実践的な経験を提供します。このコースには、実践的な環境でスキルを身につけるために、教材に直接結びついたステップバイステップの電子ワークブックによるラボの説明が含まれています。

ラボ0:仮想マシンのセットアップ
ラボ1.1:RaaSエコシステム(RAASNet)の分析
ラボ1.2:遺物の入手と分析
ラボ1.3:スケールでの分析:タイムスケッチ
ラボ2.1: スケールでの分析: Kibana
ラボ2.2: 感染ベクターの発見
ラボ2.3: PowerShellスクリプティング: 敵であって味方ではない
ラボ2.4:Cobalt Strikeペイロードの解読
ボーナスラボ2.5:RDPアクティビティのハンティング
ラボ3.1:横方向の動きを特定する
ラボ3.2:データアクセスとデータ流出の特定
ラボ3.3:脅威行為者のツールボックスの検出
ボーナスラボ 3.4: その他の横の動き

本コースの配布物

  • フリー&オープンソース(FOSS)およびフリーウェアのDigital Forensics and Incident Response(DFIR)ツールをあらかじめ環境に組み込んだSIFT Workstation仮想マシンのコース専用/カスタムWindows 10 Enterpriseバージョン。
    • このVMには、ターゲットネットワーク範囲/環境を構成する15台のホストすべてからKAPEが取得したWindowsフォレンジックアーチファクトが含まれています。
  • Linux SIFT Workstation仮想マシンのコース専用/カスタムバージョン
    • このVMには、TimeSketchとKibanaの両方からアクセス可能なElasticsearchインスタンスに含まれるシナリオ1とシナリオ2の両方のデータが含まれています。
  • インストールとセットアップを支援するアーカイブツールとともに、両方のVMを含むISOイメージ
  • FOR528演習ワークブック(すべてのラボの詳細な説明を含む)

本講座受講にあたっての前提

インシデントレスポンス(IR)のバックグラウンドがあることを推奨します。このコースは、ランサムウェア攻撃に対応する必要があるインシデント対応者を対象としています。したがって、IR の経験、または SOC や CIRT 内で習得したような少なくともアラートトリアージの経験があることが推奨されます。さらに、FOR500 で学習するような Windows アーティファクトの識別と分析の経験も推奨します:Windows のフォレンジック分析最後に、正規表現(regex)に精通し、一般的な SIEM の使用経験があることを推奨します。 これらの項目はすべてコースでカバーされるが、一般的な考え方は、インシデントを経験することだ。

受講対象者

  • ランサムウェアのインシデント対応を支援するフォレンジック成果物の収集、解析、分析方法を学びたい情報セキュリティ専門家
  • インシデント対応チームのメンバーで、Windowsのデータ侵害や侵入のケースを解決し、被害評価を実行し、侵害の指標を開発するために、深く掘り下げたデジタル・フォレンジックを使用する必要がある。
  • セキュリティ・オペレーション・センターやコンピュータ・インシデント・レスポンス・チームなどで働くインシデント・トリアージ・アナリスト
  • ランサムウェアのインシデント対応を支援する必要のあるマネージド・サービス・プロバイダー(MSP)およびマネージド・セキュリティ・サービス・プロバイダー(MSSP)のアナリスト
  • ランサムウェア捜査の専門家になりたい法執行官、連邦捜査官、刑事
  • ランサムウェア・イベントに対応する必要がある医療機関や接客業のITスタッフ
  • 情報システム、情報セキュリティ、コンピュータのバックグラウンドを持ち、ランサムウェアに特化したインシデントレスポンスについて深く理解したい方
NICEフレームワーク
  • サイバー防衛インシデント対応者(OPM 531)
  • サイバー・オペレーター(OPM 321)
  • サイバー犯罪捜査官 (OPM 221)
  • 法執行/防諜フォレンジック・アナリスト (OPM 211)
  • サイバー防衛フォレンジック・アナリスト(OPM 212)

コース開発者より

ランサムウェアはユビキタスになっている。ランサムウェアの災禍を世界から取り除くために私たちがいくら組織化しても、ランサムウェアはより一般的になり、脅威行為者はますます大胆になり、組織はこれらの攻撃の圧力に屈し続けている。幸いなことに、ランサムウェアの攻撃者が攻撃を成功させる主な方法には、「セキュリティ101」の実践における一般的な失敗が関わっている。私たちが協力し合えば、これらは修正することができる!それまでは、私たちセキュリティ実務者は、このような脅威にどのように対応すべきかを知っておく必要があります。あなたとあなたの組織は、何をどのように収集し、そのデータをどのように解析し、そのデータをどのように迅速かつ効率的に分析するかを知る必要がある。このようなことが、私たちのコースの目標です。
- Ryan Chapman

  • DAY1
  • DAY2
  • DAY3
  • DAY4

Ransomware Incident Response Fundamentals

概要

インシデント対応担当者のためのランサムウェア」コースは、ランサムウェアの歴史を振り返ることから始まります。最初に知られたランサムウェア攻撃の話から始まり、私たちの業界に立ちはだかる現在の脅威へと話を進めます。Human Operated Ransomware(HumOR)やRansomware-as-a-Service(RaaS)の出現により、私たちの生活はもちろんのこと、内側につながった生活も日々危険にさらされています。これらの脅威に関連する役割、プロセス、コミュニケーション方法、活動を深く掘り下げることで、ランサムウェアに対する理解が深まります。 そして、暗号化されそうな場合、現在暗号化されている場合、あるいは最近暗号化された場合 に何をすべきかを取り上げます。特に時間的な要件に注意を払いながら、連絡する必要のある企業、関与する必要のある部署、実施する必要のあるプロセスなど、取るべき行動を取り上げます!私たちが直面している真の脅威と、IRプラクティスを一般的にどのように適用できるかについて学んだ後、ランサムウェアキャンペーンの分析に最適なWindowsベースのフォレンジック成果物について深く掘り下げます。どのようなアーティファクトを収集すべきか、また、どのようなツールや方法が取得や解析に最適かを学びます。組織の準備レベルにかかわらず、分析を容易にするデータを取得するためにできることを説明します。単一マシンに対する直接取得のハンズオンアプローチを学び、その後、アットスケールでの取得と分析に移行します。詳細な実習では、各環境タイプに対応した分析方法を説明します。TimeSketchを使用して解析されたアーティファクトを分析し、ランサムウェアの脅威に対応するための簡単な方法とより高度な分析方法を確認します。
 

演習

  • カスタマイズさ れた FOR528 Windowsおよび SIFT VMをインストールし、詳細なログレビューとマルウェア解析に必要な設定を行う。
  • ランサムウェアの「ビルダー」を利用して、復号化ツールとともにカスタマイズされたランサムウェア暗号化ペイロードを生成します。生成したランサムウェアのペイロードを実行し、暗号化されたファイルを確認した後、復号化ツールを使用してデータを復号化します。
  • アーチファクトをレビューし、トをレビューし、KAPEを使用してデータを解析します。を使用してデータを解析します。Timeline Explorerを使用して、マスターファイルテーブルを使用して、マスターファイルテーブル((MFT)、システムリソース使用状況モニター(SRUM))、シェルバッグ、Shimcache、および、およびWindowsイベントログのアーチファクトに焦点を当てながら、KAPEを介して解析されたデータを確認します。
  •  TimeSketchインターフェイス内でデータをハントし、MFT、SRUM、Shellbags、Shimcache、および、およびWindowsイベントログの分析が、前のラボでの手動分析からアットスケール分析に移行する際に、どのようにスケールアップするかに焦点を当てる。
 

トピックス

  • コースの仮想マシン
    • 概要とセットアップ
  • カスタムターゲットの被害者とそのネットワークのレビュー
    • サマランプロテクト https://samaranpro.com
  • カスタム攻撃シナリオの概要。私たちのラボとキャプチャーザフラッグは、これらの攻撃に基づいています。
    • 「BlueLocker」ランサムウェアグループ
    • 「Balrog」ランサムウェアグループ
  • ランサムウェアの進化と歴史
    • ランサムウェア攻撃を最初に認識する
    • ロッカーとシングルマシン暗号化ペイロード
    • 人間が操作するランサムウェア(HUMOR)
  • ランサムウェアアズアサービス(RaaS)
    • RaaSモデル、階層、役割モデル、階層、役割
    • RaaSビルダーとジェネレータービルダーとジェネレーター
    • RaaSダッシュボードダッシュボード
  • アクセスブローカー(IAB)の設置
    • アクセス方法
    • ダークネットマーケットプレイス
    • 被害者のアクセス:売買
  • ランサムウェアの運営者
    • グループの経年変化
    • 恐喝の種類
    • データ漏洩サイトと心理的圧力
    • ダークウェブフォーラム通信
  • フォレンジックアーティファクトの収集
    • Kroll Artifact Parser and Extractor (KAPE)によって収集されたアーティファクトをレビューする。
    • KAPEを使用して収集した成果物を処理/解析する。
    •  解析されたアーティファクトの出力をレビューし、活用されたツールや方法論をよりよく理解する。
  • インシデントレスポンスのプロセスとランサムウェアへの適用
    • インシデントレスポンスへの動的アプローチ(DAIR)モデル
    • 典型的なランサムウェアキャンペーンのフェーズ
  • Windows Forensic Artifacts
    • イベントログ、シェルバッグ、シムキャッシュ、SRUMなど
    • SANS Windows Forensic Analysis ポスターのレビュー
    • タイムラインエクスプローラーを使って、一般的な解析ツールで出力されたCSVファイルを解析する
    • アーティファクトコレクションツール
    • フォレンジックアーティファクトの収集
  • スケール分析
    • Velociraptorを使った大量収集
    • Sysmonによるログ増強
    • Log-MDによるログ監査レビュー
    • ログアグリゲータ/SIEMとファイル名
  • TimeSketch による大規模な分析

Ransomware Modus Operandi

概要

ランサムウェアのインシデントは特に特殊なものではありません。私たちインシデント・レスポンダーは、同じ戦術、技術、手順(TTP)を何度も目にします!
セクション2は、ランサムウェアやサイバー恐喝の調査を容易にするために有用なセカンダリ・ログ集約グラフィカル・ユーザー・インターフェースであるKibanaの実習から始まります。まず、初期アクセス、実行、防御回避、およびスクリプトエンジンの悪用について説明します。ほとんどのランサムウェアのケースでは、攻撃者がPowerShell、バッチスクリプト、JavaScript、Visual Basic Scriptingなどのスクリプトエンジンを活用しています。本日の序盤では、私たちが何度も目にしているさまざまなツールやスクリプトについて説明し、各ツールの概要とハントおよび検出のための詳細を説明します。次に、パーシステンス(永続性)について説明します。一般的なコマンド・アンド・コントロール(C2)メカニズム、リモート監視・管理(RMM)ソリューション、ランサムウェアのオペレータが環境へのアクセスを維持するために使用するWindowsネイティブの方法について学びます。
その後、敵対者のエミュレーションと攻撃シミュレーションツールであり、おそらくその仕事が「上手すぎる」ようになったCobalt Strike(CS)の詳細なレビューに軸足を移します。侵入テスト担当者やレッド・チームなど、世界中の多くのセキュリティ専門家がCSに依存しています。残念ながら、ランサムウェア攻撃の非常に高い割合で、この非常に強力な商用ツールが使用されています。このツールのインフラストラクチャ、自由に変更可能な C2 プロファイル、ペイロードの検出/難読化手法などについて学びます。このモジュールには、CSペイロードのデコードを学ぶ実習ラボが含まれています。
当社のトレーニングの多くは、分析手法を段階的に学ぶ実習で構成されています。インシデントレスポンスの分野で経験を積んだ方と経験の浅い方の両方が、ランサムウェアやサイバー恐喝のインシデントを最初から最後まで確実に対処できるようにすることを目的としています。

演習

  • Elasticsearch, Logstash, Kibana (ELK)スタックに関連する最も一般的なインターフェイスの内部と外部を、以前のラボで習得したスキルを適応させながら学びます。
  • 親プロセスとしてのMicrosoft Officeアプリケーション、Windowsでネイティブに開かれたZIPファイル、ZIPファイルのクレデンシャル読み取り操作、Outlookのファイルダウンロード/実行、Microsoft Trust Centerのレビューなどを介して、成功したフィッシング攻撃を特定する。
  • エンコードされ難読化されたPowerShellペイロードの解析を学ぶ
  • RDP、PsExec、WMI、Cobalt Strikeなどのメカニズムを介した横方向の動きを特定する。
 

トピックス

  • Kibanaによるアットスケール分析
  • ランサムウェア攻撃キャンペーンのフェーズ セクション 2:
    • 初期アクセス
    • 実行
    • 防御回避
    • 持続
以下のセクションでは、検知とハンティングのためのツール、プロセス、方法について詳しく説明する。
  • 初期アクセス
    • 初期アクセス手法のトップ3: RDP、フィッシング、ソフトウェアの脆弱性
    • フィッシング・ベクトル
  • マルウェア感染とクレデンシャル・ハーベスティングの比較
  • MalDocsのような悪意のある添付ファイル
  • メールゲートウェイのファイルブロックリストのレビュー
  • 悪意のあるリンクとその分析方法
    • リモート・デスクトップ・プロトコル(RDP)
  • 有用なWindowsイベントログ
  • 悪意のあるRDPアクティビティの特定
    • ソフトウェアの悪用/脆弱性
  • ゼロデイと一般的な脆弱性と暴露(CVEs)の比較
  • 標的とされ、悪用されている CVE の例
  • ダークネット・フォーラムでの議論
    • マルウェア・アズ・ア・サービス(MaaS)
  • 実行と防御回避
    • 脅威アクターのツール
  • フリー・オープンソース(FOSS)
  • ネイティブ・スクリプト・エンジン
  • オフラインのバイナリとスクリプト(LOLBAS)
  • 敵のエミュレーションのための商用ツール
  • MaaS
    • セキュリティ・サービス/メカニズム・バイパス手法
    • ネイティブ実行手法
    • Windows Management Instrumentation (WMI)攻撃
    • スクリプトエンジンの悪用
  • パワーシェル
  • バッチスクリプト
  • JavaScriptスクリプト
  • Visual Basic スクリプト
    • PowerShellロギングと高度な分析
  • Windowsイベントログの関連付けと有効化
  • PowerShellパラメータとその目的
  • 永続性
    • 一般的なC2手法
    • リモート監視と管理(RMM)
    • ポストエクスプロイトフレームワーク
    • アカウント作成
    • ブート/ログオン自動起動場所
    • サービスのインストール
    • スケジュールされたタスク
    • WMIイベント・サブスクリプション
  • コバルト・ストライク(CS)
    • 脅威アクターのアクセスと利用
    • CSアーキテクチャとコンポーネント
    • 柔軟なC2プロファイル
    • コマンドとチートシート
    • 検知方法
    • ペイロード解読ツールと方法

Advanced Ransomware Concepts

概要

セクション3は、特権のエスカレーション、クレデンシャル・アクセス、ラテラル・ムーブメントから始まります。ランサムウェアの攻撃者はどのようなツールを使ってマシンの特権を昇格させるのか?どのようにしてWindowsホストから保存されているクレデンシャルにアクセスするのでしょうか?どのようなプロセスがよくダンプされ、なぜ、どのようにダンプされるのでしょうか?横方向の移動については、RDP、SMB(特にPsExec)、WinRM、およびその他の方法が、被害者のネットワーク全体を移動するためにどのように使用されるかについて学びます。

マイクロソフトのActive Directory(AD)に対する攻撃を取り上げます。ランサムウェアの運営者はADを攻撃するのが大好きなので、ADの設定が不十分であることを利用して特権をエスカレートさせ、認証情報にアクセスするさまざまな方法を紹介します。
セクション3では、ランサムウェア攻撃のライフサイクルにおいて、より重要なセクションの1つである「データアクセスとデータ流出」を取り上げます。組織は通常、どのようなデータがアクセスされたのか、あるいは盗まれたのかを知りたがります。私たちは、これらの活動を促進するツールを狩る方法を含め、データのアーカイブとステージング方法をカバーしています。FTPが一般的な流出経路であることを信じられますか?どのようなデータが流出しているのかわからなくても、どのようにすれば流出したデータを検知できるのでしょうか?私たちはそれをお見せします!
その後、ランサムウェア攻撃の最終段階であるペイロードの展開と暗号化の内部構造に移ります。バックアップとリカバリーの改ざんについて、ランサムウェアの実行者がバックアップシステムを攻撃する方法とともに学びます。行為者がその痕跡を隠す方法は明白に見えるかもしれません!最後に、最も一般的なペイロードの展開方法に関する技術的な詳細を説明します。最後に、リネームされた実行可能ファイル、ディレクトリ分析による悪意のあるファイル/プロセスの特定、アンチウイルスログ分析による一般的な攻撃など、ハンティング手法を取り上げます。ここでは、組織を監視するための最善の方法を紹介します。

演習

  • RDP や PsExec などのメカニズムを介した横方向の動きを特定します。
  • NTFSメタデータ(NTFS、UsnJrnlなど)のハントとピボット、取得したアーティファクトの手動解析、タイムラインエクスプローラー、TimeSketch、Kibanaにより、データアクセスと流出の可能性をハントし、特定する。
  • PSTools、リネームされた実行可能ファイル、共通ディレクトリなどを検出するハンティング手法により、脅威行為者のツールボックスを検出します。
  • WMI、Cobalt Strikeなどの追加的な横の動きを特定します。

トピックス

  • ランサムウェア攻撃キャンペーンのフェーズ セクション 3:
    • 特権の昇格
    • クレデンシャルアクセス
    • 横方向への移動
    • ADに対する攻撃
    • データ・アクセス
    • データ流出
    • ペイロードの展開
  • 特権の昇格とクレデンシャル・アクセス
    • よく狙われるアカウント
    • アカウントが標的とされる方法
    • ユーザー・アカウント制御(UAC)のバイパス手法
    • ローカル・セキュリティ権限サーバー・サービス(LSASS)へのアクセスとダンピング
    • NTDS.dit攻撃
    • 代替認証情報攻撃
  • ブラウザやパスワード管理ツールに保存されたパスワードへの攻撃
  • セッション・スニッファーとエクストラクター
  • よく見られるオールインワン・ソリューション(WinPwnなど)
  • 横の動き
    • RDPおよびRDPキャッシュビットマップ解析
    • サーバー・メッセージ・ブロック(SMB)の横移動
    • 名前付きパイプの使用率とサービス・インストールとの関係
    • シスインターナル PsExec
    • Windowsリモート管理(WinRM)
    • ESXiに対する攻撃
  • AD攻撃
  • AD列挙
    • ブラッドハウンドとシャープハウンド
    • ケルベロースティング
    • AS-REP焙煎
    • DCSync攻撃
    • ゴールデンチケット攻撃
  • データ・アクセス
    • 報告および法的考慮事項
    • ネットワーク共有の列挙とアクセス
    • 削除されたファイルとファイルの知識
    • ファイルとフォルダへのアクセス
    • レジストリ分析
    • ツール固有の分析
  • データ流出
    • アーカイブ作成
    • データステージング
    • .txtファイルと.csvファイルの作成と使用
    • データ流出経路
    • ネットワークログとNetFlowのレビュー
  • バックアップとリカバリーの改ざん
    • ボリュームシャドウサービス攻撃
    • ブート構成データ、Windowsブートステータスポリシー、Windowsバックアップ攻撃
    • イベントログの消去
  • ペイロードの展開
    • 一般的な配備ツールと方法
    • PsExecによるデプロイメント
    • WMIC経由での展開
    • BITSによる配備
  • 暗号化と復号化
    • 暗号化キーの種類
    • 上書きとコピー/削除の暗号化方法
    • 身代金のメモ
    • 暗号化機構のソースコードレビュー
    • 復号機
  • ランサムウェア運営者を狩る。特定するテクニック:
    • 悪意のあるRDP接続
    • プロセス名とパスの異常
    • 不正な実行ファイル
    • PowerShellでエンコードされたコマンド
    • アンチウイルスのログにおける悪意のある活動
    • 環境変数に関わる悪質な行為

Ransomware Incident Response Challenge

概要

ランサムウェアインシデントに対応するための準備として、経験以上のものはありません。ランサムウェアの感染経路から、環境内で実行される暗号化ペイロードに至るまで、ランサムウェアのインシデントを分析します。このCTFチャレンジでは、ランサムウェアの感染経路から、環境内で実行される暗号化ペイロードに至るまで、インシデントを分析します。私たちは、Samaran Protectという被害者組織を作成しました。私たちのCTFチャレンジは、被害者の組織に対する特別に作成された攻撃シナリオに関する70以上の質問で構成されています。ターゲットとなる被害者のネットワークには、3 つの VLAN を持つ 16 台のホストが含まれています:
FOR528_VLAN_Infographic

これらの攻撃を実行するために、私たちは2つの異なるランサムウェアグループを考案しました。各グループは、現在稼働しているランサムウェア脅威グループの集合体です。活用した戦術、技術、手順(TTP)は、ランサムウェアイベントに対応する人々が日々目にする現実世界のシナリオを反映したものです。各シナリオに関与する行為者は、異なる侵入方法、クレデンシャル・アクセス方法、ツール、展開方法、暗号化ペイロードを使用します。
さらに、各シナリオは異なるタイプの環境を模倣している:被害者である組織がインシデント対応に役立つフォレンジックデータを意図的に収集していない場合と、被害者が十分な手段を講じ、何事にも備えている場合である。あなたの組織が、インシデント発生後にすべてのアーティファクトの収集と解析を開始する必要がある場合でも、データロギングを強化して本格的なSIEMを活用する場合でも、キャップストーンで取り上げた方法は、あなたの組織の方法と能力に関連付けるのに役立ちます。

演習

  • 解析されたフォレンジック・アーチファクトとログを丸一日かけて分析し、2つの個別のシナリオを使用して、あらゆるランサムウェアインシデントで一般的な質問に答えます。
  • SANSの新しいプラットフォーム「ranges.io」を活用。
シナリオ1:「BlueLocker」ランサムウェア
2
シナリオ2:「Balrog」ランサムウェア
3

トピックス

  • デジタル・フォレンジック・キャップストーン
    • 分析
      • TimeSketchを使用して、シナリオ1の解析された成果物とログデータをレビューする。
      • Windowsのイベントログ、シスモンデータ、プログラム実行の成果物、レジストリのハイブファイルなどを調査します。
      • 最初の感染ベクターから暗号化ペイロードの展開と実行に至るまで、脅威行為者の行動を追跡する。
      • 各攻撃キャンペーンの各主要フェーズで使用されるツール、スクリプト、戦術、プロセスを特定する。
  • ランサムウェアの発生後、すべての組織が回答を求める以下のような質問にお答えします:
    • 俳優たちはどのようにしてネットワークに入ったのですか?
    • 俳優たちはどのようなデータにアクセスできたのか?
    • 行為者はデータを盗む(=流出させる)ことができたのか?
    • 暗号化ペイロードそのものを含め、キャンペーン全体によって影響を受けたシステムは?
    • そしてもっと!

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。