ニュースレター登録
資料ダウンロード
お問い合わせ

FORENSICS 610

Reverse-Engineering Malware:Malware Analysis Tools and Techniques

Digital Forensics and Incident Response

English
日程

2025年10月20日(月)~2025年10月25日(土)

期間
6日間
講義時間

1日目:9:00-17:30
2日目~6日目:9:30-17:30

受講スタイル
Live Online
会場

◆LiveOnline形式
 オンライン

GIAC認定資格
GREM
講師
Jim Clausing|ジム クラウジング
SANS認定インストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
36 Points
受講料

早期割引価格:1,259,500円(税込み 1,385,450円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

通常価格:1,334,500円(税込み 1,467,950円)

申込締切日
早期割引価格:2025年9月5日(金)
通常価格:2025年10月10日(金)
オプション
  • GIAC試験 価格:149,850円(税込み 164,835円)
  • OnDemand  149,850円(税込み 164,835円)
  • NetWars Continuous 価格:266,250円(税込み 292,875円)

※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※コース本体のお申込み後にGIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)を申し受けます。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
※お申込み締切後にGIAC試験を追加する場合は、こちらのページ(英語)をご参照のうえ、GIACへ直接お申込みください。なお、コース本体とセットでお申込みいただいた場合は特典として模擬試験2回分が付きますが、GIACへ直接お申込みの場合は模擬試験2回分の特典はございません(別途購入可能)

以下の「お申し込み」を押すと、NRIセキュアのお申し込みサイトに遷移します。

お申込み

受講に必要なPC環境

演習で使用するPCをご準備下さい。受講に必要なPC環境についてご確認ください。

重要!これらの手順に従って構成された独自のシステムを持ち込みます。

このコースに完全に参加するには、適切に構成されたシステムが必要です。これらの指示を注意深く読み、それに従わないと、コースの実践的な演習に完全に参加することはできません。そのため、指定された要件をすべて満たすシステムを持参してください。

授業の前にシステムのバックアップを取ってください。さらに良いのは、機密データや重要なデータがないシステムを使用することです。SANSは、お客様のシステムまたはデータについて責任を負いません。

必須のFOR610システムハードウェア要件

  • CPU:64ビットIntel i5 / i7(8世代以降)、またはAMDの同等品。このクラスには、x64 ビット、2.0+ GHz 以降のプロセッサが必須です。
  • 重要:Appleシリコンデバイスは必要な仮想化を実行できないため、このコースには使用できません。
  • Intel-VTx」や「AMD-V」拡張機能などの仮想化テクノロジーを有効にするには、BIOS設定を設定する必要があります。 変更が必要な場合に備えて、BIOSがパスワードで保護されている場合は、BIOSにアクセスできることを絶対に確認してください
  • 16GB以上のRAMが必要です。
  • 200GB以上の空きストレージ容量が必要です。
  • 少なくとも 1 つの使用可能な USB 3.0 Type-A ポート。新しいラップトップには、Type-C から Type-A へのアダプターが必要になる場合があります。一部のエンドポイント保護ソフトウェアはUSBデバイスの使用を防止するため、授業の前にUSBドライブでシステムをテストしてください。
  • ワイヤレスネットワーク(802.11標準)が必要です。教室には有線インターネットアクセスはありません。

必須のFOR610ホスト構成とソフトウェア要件

  • ホストオペレーティングシステムは、最新バージョンのWindows 10Windows 11、またはmacOS 10.15.x以降である必要があります。
  • クラスの前にホストオペレーティングシステムを完全に更新して、適切なドライバーとパッチがインストールされていることを確認してください。
  • Linuxホストは、その多数のバリエーションのために教室ではサポートされていません。ホストとしてLinuxを使用することを選択した場合、コース教材やVMと連携するようにLinuxを構成する責任は、お客様自身にあります。
  • ローカル管理者アクセスが必要です。(はい、これは絶対に必要です。IT チームにそう言わせないでください。あなたの会社がコースの期間中このアクセスを許可しない場合は、別のラップトップを持参する手配をする必要があります。
  • ウイルス対策ソフトウェアまたはエンドポイント保護ソフトウェアが無効になっているか、完全に削除されているか、またはそのための管理者権限があることを確認する必要があります。当社のコースの多くは、オペレーティングシステムへの完全な管理アクセスを必要とし、これらの製品によりラボの達成が妨げられる可能性があります。
  • エグレストラフィックのフィルタリングにより、コース内の実習を完了できなくなる可能性があります。ファイアウォールを無効にするか、ファイアウォールを無効にするための管理者権限が必要です。
  • クラス開始前に、VMware Workstation Pro 16.2.X+(Windows 10 ホスト用)VMware Workstation Pro 17.0.0+(Windows 11 ホスト用)、または VMWare Fusion Pro 12.2+(macOS ホスト用)をダウンロードしてインストールします。 VMware Workstation Pro または VMware Fusion Pro のライセンス コピーをお持ちでない場合は、VMware から 30 日間の無料評価版をダウンロードできます。VMwareは、Webサイトで試用版に登録すると、期間限定のシリアル番号を送信します。 このコースには、VMwareソフトウェアの「Pro」バージョンが必要です。「Player」バージョンでは不十分です。
  • Windows ホストでは、VMware 製品が Hyper-V ハイパーバイザーと共存できない場合があります。最適なエクスペリエンスを得るには、VMware が仮想マシンを起動できることを確認してください。これには、Hyper-V を無効にする必要がある場合があります。Hyper-VDevice GuardCredential Guard を無効にする手順は、コース資料に付属するセットアップ ドキュメントに記載されています。
  • 7-Zip (Windows ホスト用) または Keka (macOS ホスト用) をダウンロードしてインストールします。これらのツールは、ダウンロードしたコース教材にも含まれています。

コースメディアはダウンロードで配信されます。クラスのメディア ファイルは大きくなる可能性があります。多くは4050GBの範囲にあり、一部は100GBを超えています。ダウンロードが完了するまでに十分な時間を確保する必要があります。インターネット接続と速度は大きく異なり、さまざまな要因に依存します。したがって、資料のダウンロードにかかる時間を見積もることはできません。リンクを取得したらすぐにコースメディアのダウンロードを開始してください。授業の初日にすぐにコースメディアが必要になります。これらのファイルのダウンロードを開始するのは、授業の前夜まで待たないでください。

コース資料には、ライブクラスイベントに参加したり、オンラインクラスを開始したりする前に実行する必要がある重要な手順を詳しく説明した「セットアップ手順」ドキュメントが含まれています。これらの手順を完了するには、30分以上かかる場合があります。

FOR610 コース概要

マルウェアを裏返す技術を身につけよう マルウェア解析ツールやテクニックを深く掘り下げる人気の反転コースです。FOR610トレーニングは、フォレンジック調査官、インシデント対応者、セキュリティエンジニア、脅威アナリストが、Windowsシステムを標的とし感染する悪質なプログラムを調査するための実践的なスキルを習得するのに役立っています。
マルウェアの機能を理解することは、脅威のインテリジェンスを導き出し、サイバーセキュリティインシデントに対応し、企業の防御を強化するために非常に重要です。このコースでは、様々なシステムおよびネットワーク監視ユーティリティ、ディスアセンブラ、デバッガ、その他自由に利用できる多くのツールを使用して、悪意のあるソフトウェアをリバースエンジニアリングするための強力な基礎を構築します。

自動分析ツールを使って劇的に発見しやすくするような手法で、マルウエアを解析するための基礎を身につけるところから始まります。悪意のあるソフトウエアの内部検査を行うフレキシブルなラボを設定する方法や、実世界にあるマルウエアのサンプルの特徴を発見するラボの使い方を学びます。悪意のあるプログラムを動かすことで検体の機能を発見するため、ラボの中でネットワークトラフィックをリダイレクトしたり遮断する方法を学習します。リバースエンジニアリングと関連する本質的なアセンブリ言語のコンセプトを学びます。重要な構成要素と実行フローを理解するために、ディスアセンブラやデバッガーの助けを借りて悪意のあるコードを検査することを学習します。加えて、悪意のあるプログラムにある怪しいWindows APIパターンに注目することによりマルウェアに共通の特徴を見つけ出す方法について学習します。

次に、悪意のあるMicrosoft Office、RTF、PDF文書ファイルを分析します。これらは、主流の攻撃や標的型攻撃において、攻撃チェーンの一部としてよく使用されます。このような文書がもたらす可能性のあるマクロやその他の脅威を調査する方法を学びます。また、JavaScriptやPowerShellスクリプトの形で悪意のあるスクリプトを難読化する方法を学びます。さらに、シェルコードの検査方法も学びます。

マルウエアは解析の邪魔をするためにしばしば難読化されています。そのためコースではWindows実行ファイルを分解するスキルを身に付けるためのサポートをします。デバッガーや追加の専門ツールを使ってメモリからそのようなプログラムをダンプする方法や作成者による保護をはずしてファイル構造をリビルドする方法を学習します。また、コードインジェクションやAPIフッキングを行い、システム上の存在を隠したり、情報の流れを妨害したりするマルウェアの検査方法についても学びます。

また、FOR610マルウェア解析トレーニングでは、解析から自身を守ろうとする悪意のあるソフトウェアの扱い方についても学びます。ファイルレス技術、サンドボックス回避、フローミスディレクション、デバッガ検知、その他の解析対策など、一般的な自己防衛策を認識し、回避する方法について学びます。

コース最終日は、CTFに挑戦していただきます。一連学んできたことの復習になり、実践的かつハンズオンでマルウェア解析を楽しみながら学べるよい機会となることでしょう。

本コースでは、管理下にあるラボでマルウェアを調査して、マルウェア解析手法を実践してみるハンズオン演習を重視しています。演習を行うことで、典型的なパターンを理解し、コードを分析する際に重要な部分を理解できるでしょう。そして演習をスムーズに行えるようにするために、あらかじめマルウェア解析用のツールを構成してあるWindowsとLinuxの仮想マシンを用意してあります。

コースが選ばれる理由

FOR610で学習するマルウェア分析プロセスは、インシデント対応担当者やその他のセキュリティ専門家が、悪意のあるソフトウェアが関与する状況の重大性と影響力を評価し、復旧手順を計画するのに役立ちます。また、フォレンジック調査員は、検査中に発見されたマルウェアの主な特徴について学びます。これには、インシデントの分析、スコープ設定、封じ込めのために、侵害の指標(Indicators of Compromise)を確立し、その他の脅威インテリジェンスの詳細を取得する方法が含まれます。
悪意のある、または疑わしいプログラムはどのような脅威をもたらすのか?敵の目標と能力について、その仕組みから何がわかるか?そのような感染に対する自社のセキュリティ対策はどの程度有効か?今後このような攻撃を受けた場合、どのようなセキュリティ対策を講じることで組織のインフラを強化できるのか?このコースでは、マルウェアの脅威や関連インシデントに対処する組織の能力にとって重要な、これらやその他の質問に答えるために必要なスキルを学びます。

ビジネス上の利点

  • 社内のチームが社内で分析を行えるようにすることで、外部専門家の必要性を低減します。
  • チームの分析能力を拡張し、社内外の利害関係者により多くの価値を提供します。
  • 分析作業の効率を高め、価値ある洞察を迅速に提供できるようにします。
  • セキュリティ・インシデントへの迅速な対応により、潜在的な侵入の範囲とコストを最小化する。

受講対象者

  • マルウエアを含むインシデントを扱う、あるいは悪意のあるプログラムの基本事項を理解したい方
  • 体系的ではないがマルウエア解析の経験を持つ、あるいはこの領域の専門性を体系化したり広げたい技術者
  • スキルセットを広げたい、インシデントレスポンスにおける重要な役割を果たすフォレンジック調査官、セキュリティ技術者
前提条件
  • ノートパソコンの要件に合致するコンピュータシステムを所有していること。学生が授業に参加する前にインストールする必要があるソフトウェアもあります。
  • WindowsとLinuxの操作環境に精通し、OSの接続や設定に関する一般的な問題のトラブルシューティングができること。
  • VMwareに精通し、仮想マシンのインポートと設定ができる。
  • 変数、ループ、関数など、プログラミングの中核となる概念について一般的な知識を持ち、この分野の関連概念を迅速に把握できる。ただし、プログラミングの経験は必要ない。

シラバス

  • DAY1
  • DAY2
  • DAY3
  • DAY4
  • DAY5
  • DAY6

Malware Analysis Fundamentals

1章では、悪意のあるプログラムを調査するのに有効な主要ツールとテクニックを紹介し、マルウェア解析の基礎固めを行う。フェーズごとにWindowsマルウェアを調べることで解析時間を短縮する方法を学びます。静的プロパティ分析では、メタデータおよびその他のファイル属性を調べてトリアージを行い、次の対応を決定します。行動分析では、レジストリ、ファイルシステム、ネットワークなどの環境とのプログラムの相互作用に焦点を当てます。コード解析では、検体の内部動作に焦点を当て、x64bgなどのデバッグツールを使用します。提供されているWindowsおよびLinux(REMnux)仮想マシンに慣れ親しむように、設定された方法でこのような分析を行う方法を学びます。ラボではサンプルマルウェアの調査を行い、主要な解析ツールの実行方法を理解していきます。インストラクターのガイダンスとラボ後の解説によって、マルウェア解析の概念をしっかり理解できることでしょう。

トピック

  • 効果的なマルウェア解析のためのツールキット構築
  • 疑わしいプログラムの静的パラメータ調査
  • 悪意のあるWindows実行ファイルの動作解析、悪意のあるWindows実行ファイルの動的コード解析
  • マルウェアのネットワーク相互作用をラボで探索し、さらなる特性を追求

 Reversing Malicious Code

このセクションでは、Windowsの悪意ある実行ファイルをアセンブリレベルで調査することを中心に説明していきます。検体の内部の仕組みをディスアセンブラを通して解明していく方法を紹介します。また、デバッガーも解析の助けとなるでしょう。このセクションではハンズオン演習でGhidraを使います。このセクションではまず始めに、コードのリバーシング概念について概要を説明します。x86 Intelアセンブリの概念について、解析に不可欠な入門知識を解説します。たとえばインストラクション、ファンクションコール、変数とジャンプといった概念です。また、関数、ループ、条件文といったもので構成される共通のアセンブリを調査する方法も学んでいきます。教材を使って基礎を固めてから、ポピュラーになった64ビットマルウエアを使って理解を深めます。

このディスカッションを通して、HTTPコマンド&コントロール、アーティファクト抽出、コマンド実行など、コードレベルで共通する特徴を認識することを学びます。

トピック

  • コードレベルでのマルウェア解析を行うためのx86アセンブリの概念
  • ディスアセンブラを使用したアセンブラのロジック構造の主要部分を特定する方法
  • プログラム制御フローに従い、実行ポイントを理解する
  • Windows APIレベルでのマルウェア特性を理解する
  • x64コード解析を組み込むためのアセンブリ知識の拡張

Analyzing Malicious Documents and Scripts

セクション3では、敵対者が感染したシステム上で直接悪意のあるアクションを実行したり、悪意のある実行ファイルのインストールにつながる攻撃を開始するために使用できる悪意のある文書の検査に焦点を当てます。このセクションでは、まず、PDFファイルを調査して、それが組織に及ぼす脅威を理解する方法を説明します。続いて、Microsoft Office文書で被害者に配信されるVBAマクロの検査について詳しく説明します。簡単なマクロと高度なマクロの扱い方を学ぶことで、マクロの機能を理解し、IOC(indicators of compromise)を導き出すことができるようになります。次に、危険なアーティファクトを埋め込み、脆弱性を悪用して悪意のあるコードを実行する可能性のある疑わしいRTFファイルの調査方法について学びます。このセクションでは、不審なウェブサイトの検査、シェルコード機能の理解、JavaScriptスクリプトの難読化解除のテクニックも紹介します。

トピック

  • 悪意のあるPDFファイルの分析
  • 疑わしいウェブサイトの分析
  • Microsoft Office文書内のVBAマクロ
  • 悪意のあるRTFファイルの検査
  • シェルコードの理解
  • 悪意のあるJavaScriptスクリプトの難読化解除

In-Depth Malware Analysis

セクション 4 では、このコースの前半で紹介した動作解析とコード解析のアプローチを基に、悪意のあるプログラムの機能をさらに解明するためのテクニックを探ります。このセクションでは、まず、悪意のある文書や疑わしいWebサイト、その他の形式の攻撃で遭遇する可能性のある、JavaScriptの難読化を解除するための実用的な方法について説明します。具体的には、パッカーとよばれるテクニックについて学んでいき、そしてその防御を回避する方法を理解していきます。また、レジストリ、難読化されたJavaScriptとPowerShellスクリプト、シェルコードの使用など、本来の特性を隠すために複数のテクノロジを使ったマルウェアの分析も行います。また、.NET Framework を使用して作成されたマルウェアの解析方法についても学びます。このようなコードの逆コンパイル、デバッグ、難読化解除の方法も含まれます。最後に、マルウェアがどのようにコードインジェクションを行い、検出を回避し、プログラムが環境を認識する方法を妨害するかを学びます。

トピック

  • 梱包されたWindowsマルウェアを認識する
  • アンパックを始める
  • パックされたマルウェアをメモリからダンプするためのデバッガの使用
  • マルチテクノロジーおよび「ファイルレス」マルウェアの解析
  • .NET マルウェアの解析
  • コードインジェクションのテクニック

Examining Self-Defending Malware

このセクションでは、マルウェアの作成者が悪意あるソフトウェアを解析されるのを阻止するために使っている手法を詳しく解説します。時間稼ぎまたは、誤分析するよう仕組まれた対分析手法を識別し、回避する方法について解説します。このプロセスでは、マルウェアの静的および動的分析を行って、アンパックしたり、他のプロセスにインジェクトしたりできることを学びます。マルウェアの作成者が悪意ある実行可能ファイルに埋め込んだデータを保護する方法についても理解を深めることができます。コースを通してカバーされているトピック同様に、実践演習中にこのようなテクニックを試すことができます。

このセクションでは、コースの前半で取り上げた多くのツールやテクニックをまとめ、さらに発展させています。

トピック

  • マルウェアがデバッガを検出し、埋め込みデータを保護する方法
  • 悪意あるソフトウェアのプロセス空洞化を利用したアンパック方法
  • マルウェアが解析ツールを検知する機能を特定し無効化する方法
  • SEHおよびTLSコールバックを含むコード誤検出手法
  • パッカーの動きを予期して悪意ある実行可能ファイルをアンパックする方法

Malware Analysis Tournament

セクション6では、これまでのセクションで学んだマルウェア解析の様々な側面を内在化し、実践し、発展させることができます。このセクションでは、実際のマルウェアを使用した様々な実践的な課題を、楽しいトーナメント形式で提供します。CTF(Capture the Flag)システムにアクセスし、ラボでマルウェアを調査することで実践的な課題に取り組むことができます。このシステムは、必要なときにガイダンスを提供してくれるので、自分のスキルセットとニーズに合わせてこのゲーム体験をカスタマイズすることができます。トーナメントでは、知識を定着させ、さらに練習が必要と思われるスキル領域を補強することができます。 

トピック

  • マルウェア解析の基礎
  • 静的および動的な手法による悪意のあるコードの解析
  • 悪意のあるドキュメントの解析
  • マルウェアの詳細解析(アンパッキングを含む)
  • 自己防衛型マルウェアの検証

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。

ニュースレター登録
資料ダウンロード
お問い合わせ