SECURITY 504

情報収集、スキャン、列挙手法
Recon, Scanning, and Enumeration Attacks

皆さんが所属する組織のネットワークは、潜在的な攻撃者に膨大な量の情報を提供しています。情報漏洩やオープンソース情報（OSINT）に加え、攻撃者はシステムの詳細なスキャンを行い、防御を突破するための突破口を探索しています。攻撃者は、ネットワークに侵入するために、脆弱なDMZシステムやプラットフォーム、脆弱なWi-Fiや独自の無線システムなど、侵入チャンスのあるターゲットを探し出しています。さらに攻撃者は、複雑な Windows Active Directory ドメインの詳細なスキャンと調査を行い、構成ポリシーを識別して操作することで、より有利な立場に立とうとしてます。

Day2では、多くのサイバー攻撃の初期段階に関わる詳細情報をカバーしています。MITRE ATT&CK Frameworkを通して、モダンな攻撃者のツール、技術、実践（TTP)を理解するための重要なフレームワークを紹介し、攻撃者が行う攻撃前のステップを調査する出発点としています。さらに、ローカルおよびクラウドベースのツールを活用して、ターゲット組織の効果的な偵察を行い、最初の侵害の弱点に関する情報を開示・特定します。次に、ネットワークの観点から、また最新の Windows Active Directory フォレストの複雑さに焦点を当て、攻撃者に特権的なアクセスを与える攻撃計画を作成するためのスキャン技術を深く掘り下げていきます。また、組織への攻撃を検出するための優位性を提供する無料のオープンソースのツールを使用した防御技術にも注目します。

演習

• OSINTを使用した攻撃偵察
• 不正、悪意のある、また誤って設定されたアクセスポイントのWi-Fiネットワークスキャン
• Nmapを使用したサーバーの列挙と分析
• 脆弱性スキャンと優先順位付けの発見
• Windowsネットワークスキャンおよび一覧化の手法
• ディフェンススポットライト：DeepBlueCLI

トピック

MITRE ATT&CK Frameworkの解説

• 攻撃者の評価と攻撃者のツール、技術、実践（TTP）のマッピングに関するネットワーク
• MITRE ATT&CK Frameworkを使ったよりスマートな攻撃者の評価
• SEC504とMITRE ATT&CK Frameworkの統合方法

情報収集

• ネットワークで明らかになることは何か
• たくさんの情報を漏洩していませんか？
• 証明書の透過性を利用したプリプロダクションサーバーの識別
• DNS情報の収集
• 求人情報、ウェブサイト、政府機関のデータベースからのデータ収集
• 公開された危険なアカウントの特定
• FOCAによるメタデータ分析
• SpiderFootを使ったOSINTデータの収集
• ターゲット発見のためのSHODANを使った検索の実践

スキャン

• ネットワークを列挙するために攻撃者が使用するテクニック
• 個人および企業のWi-Fiの検出と攻撃
• 独自の無線LANシステム識別と利用
• ポートスキャン：大規模・小規模に情報を列挙する
• Webサーバからの迅速かつ効果的な情報収集
• OS、サービス、パッチレベルによるターゲットの特徴把握
• 脆弱性スキャンと対策の優先順位付け

Windows Active Directoryのターゲット一覧化

• BloodHound, SharpViewによるWindows Active Directory ドメインの一覧化
• PowerShell EmpireによるWindows Command and Control
• LinuxからWindowsターゲットへのOSブリッジング
• 洗練されたWindowsネットワーク機能によるSMB攻撃に対する防御
• Windows Server 2019のSMBセキュリティ機能の理解

ディフェンススポットライト：DeepBlueCLI

• PowerShellを使ったWindowsシステム一覧の取得
• 迅速で効果的なWindowsイベントログ解析
• PowerShellの出力変更ツールを用いたレポート作成や解析への活用
• Windowsサーバに対する一般的なWindowsスキャンと攻撃の特徴

パスワード攻撃と不正アクセス
Password and Access Attacks

パスワードの漏洩はエクスプロイトの漏洩よりまだ良い、とどの攻撃者も同じことを言うでしょう。有効なユーザ名とパスワードによるシステムアクセスは、エクスプロイトよりも信頼性が高いだけでなく、認証された資格情報を使用することで、通常のシステム使用に溶け込み、検出につながるログやシステムの異常を見せにくくすることができます。このような攻撃が非常に蔓延しているため、パスワードベースの攻撃を詳細に掘り下げ、防御しなければならない高度な攻撃者と同じスキルとテクニックでシステムをテストするためのツールが提供されています。
Day3は、簡単なパスワード推測攻撃から始まり、アカウントロックアウトなどの防御システムを回避する効果的なプロセスを採用するために攻撃者が採用しているテクニックを素早く学習します。別のネットワーク侵害から効果的なパスワード推測リストを作成することや、攻撃者がどのようにしてユーザーのパスワードを再利用して組織を攻撃するかなど、重要なトピックを学習します。また、パスワードハッシュの背後にあるアルゴリズムを掘り下げ、いくつかのツールを使用して、クラッキングプロセスを数年ではなく数日で完了させるようにを最適化しながらパスワードの平文復元を行います。また、簡単なバックドア、フォワードシェルとリバースシェル、組織内でのデータ転送の離散などを利用して、本質的なネットワーク攻撃のトピックを理解するための第一歩を、システムバイナリを通して踏み出します。また、組織内の認証ログを監視するためのドメインパスワード監査ツール(DPAT)やElastic Stack(旧ELK)ツールの使用など、業務に戻ってからすぐに活用できる防御策についても調査します。

演習

• Hydraでのオンラインパスワード推測攻撃
• ディフェンススポットライト：Elastick Stackを使ったパスワード推測攻撃の解析
• HashcatとJohn the Ripperを使った効果的なパスワードクラック
• ディフェンススポットライト：DPATを使ったドメインパスワード流出の分析
• Netcatを使ったデータの抽出、スキャン、転送

トピック

パスワード攻撃

• 攻撃者がアカウントロックアウトポリシーを回避する方法
• パスワード推測攻撃のターゲットプロトコルの選択
• パスワードリストを選択する技術
• 攻撃者が組織に関する危険なパスワードリストを再利用する方法
• パスワードクラッキングの技術
• 自組織でパスワードクラッキングから守る推奨方法

ディフェンススポットライト：Elastick Stackを使ったログ分析（旧名：ELK)

• Elasticsearch、Logstack、Beats、Kibanaによる軽いログ解析システムの構築
• LinuxやUNIX認証にかかわるログデータの理解
• Filebeatを使ったシンプルなログの取り込みの実施
• Kibana を使用してパスワード攻撃イベントを識別
• 効果的なスレッドハンティングを可視化するためのKibanaカスタマイズ

パスワードハッシュの理解

• ハッシュアルゴリズム、プロセスと課題
• Windows Server 2019にあるWindowsハッシュ機能の理解
• パスワードハッシュ機能の強度や品質のメトリックス
• ビルトインツールを使ったWindowsドメインパスワードハッシュの抽出
• Windows10からのパスワードハッシュの抽出
• UNIXとLinuxのパスワードハッシュのデコード
• PBKDF2、bcrypt、および scryptを使ったGPUベースのクラッキング対策

パスワードクラッキング攻撃

• John the Ripper: single, wordlist, incremental,external のクラッキングモード
• Hashcatを使ったハッシュ値のクラッキング：straightとcombinatorモードでの攻撃
• マスク攻撃を使った効果的なハッシュ計算
• Hashcatのルールを使ってユーザパスワード選択の弱点を破る
• パスワードクラックから守るための３つのシンプルな戦略

ディフェンススポットライト：Domain Password Audit Tool

• シンプルなPowerShell一行スクリプトでWindowsドメイン設定を一覧化
• ユーザがパスワードを選択する際の体系的行動の特徴
• 組織内での弱いパスワード違反者の特定
• Windows ドメインでのパスワード共有対策

Netcat：攻撃者のベストフレンド

• ファイル転送、バックドア作成、貝殻拾い
• 攻撃元追跡を困難にするためのNetcatリレー
• Netcatを使ったリプレイ攻撃

外部からの攻撃とDrive-By攻撃
Public-Facing and Drive-By Attacks

外部からの攻撃やDrive-By攻撃は、組織にとって深刻なリスクであり、組織を標的とする攻撃者にとっては一般的な攻撃トレンドとなっています。ウェブアプリケーション、VPNサーバ、電子メールシステム、およびその他のサポートプロトコルなどに対する外部からの攻撃ターゲットは、攻撃者によって迅速に特定され、脆弱性を評価されます。Drive-By攻撃では、攻撃者はサードパーティの正当なウェブサイトを利用し、ユーザーを騙してシステムを脆弱にするような行動を取らせます。
Day4では、Metasploit などのエクスプロイトフレームワークを使用して、公開されたシステムを侵害するハッカーツールを学びます。また、Drive-By攻撃や水飲み場攻撃の背後にある概念とテクニックを掘り下げ、悪意のあるインストーラ、ブラウザのJavaScript、悪意のあるMicrosoft Office文書を介して、攻撃者がどのようにしてエクスプロイトやシステム侵害ツールを作成するかを調べます。また、組織におけるWebアプリケーションに特有の攻撃を、認証されていないユーザと認証されたユーザの両方の観点から、最も一般的なWebアプリケーションの脆弱性に対する実践的な悪用手順とともに検証します。ハッカーツールの調査に加えて、Windows SRUMデータベースを使用したシステムアクティビティの履歴レポート作成や、Webサーバのログデータを調査して攻撃の兆候を特定するためのElastic Stack (旧ELK)ツールの使用など、いつでも利用可能で実用的ないくつかの防御策を学習します。

演習

• Metasploit攻撃と分析
• ソフトウエアアップデート・ブラウザエクスプロイト
• システムリソース利用量データベース分析
• コマンドインジェクション攻撃
• クロスサイトスクリプティング攻撃
• SQLインジェクション攻撃
• SQLインジェクションログ解析

トピック

Metasploitを使ったシステム脆弱性調査

• 特定の攻撃目的のためのMetasploitフレームワークの利用方法
• 調査情報とエクスプロイトのマッチング
• Metasploit Meterpreter のCommand＆Controlの配備
• システムとネットワーク上のMetasploitエクスプロイトアーティファクトの特定

Drive-Byと水飲み場攻撃

• ブラウザの危険性の検証
• Javascriptを使ったブラウザの脆弱性の識別
• Microsoft Oficceを使ったコード実行攻撃
• 攻撃者ペイロードを使った合法的なバックドア埋め込み

ディフェンススポットライト：システムリソース利用量モニタ（SRUM）

• Windows10アプリケーション履歴を用いた攻撃者の行動の評価
• 保護されたSRUMデータベースから有用なデータを抽出
• SRUMの生データをインシデント後の有用な分析データに変換

Webアプリケーション攻撃

• ユーザ一覧作成のためのアカウントハーベスティング
• コマンドインジェクション攻撃（リモートからのWebサーバへのコマンドインジェクション）
• SQLインジェクション：バックエンドのデータベースを操作する
• セッションクローニング：ほかのユーザのWebセッションを奪う
• クロスサイトスクリプティング：被害者となるブラウザセッションを操作

ディフェンススポットライト：効果的なWebサーバのログ解析

• Elastic Stackを使った攻撃後のログ解析
• Webサーバログのボリュームを考慮したFilebeatの設定
• Kibana Query Language (KQL)を使ったWeb攻撃の特定
• 共通のSQLインジェクション攻撃シグニチャのための情報収集
• CyberChef による難読化された攻撃シグネチャの解読

回避と侵入後の攻撃
Evasion and Post-Exploitation Attacks

攻撃者の目的は、単にシステムを侵害することではありません。多くの場合、攻撃者による侵害はあくまでも最初のステップであり、その後、さらなるネットワークアクセスや組織内の機密データの取得を目的としたポストエクスプロイト攻撃が行われます。その過程で攻撃者は、エンドポイント保護、サーバのロックダウン、制限された特権者環境など、その攻撃活動を阻止するために設計された防御策に対処しなければなりません。
Day5では、初期の侵害が終わった後の攻撃者のステップを検証します。EDRプラットフォームを回避した後、攻撃者がマルウェアを埋め込むために使用するテクニック、サードパーティ製および組み込みのツールを使用してネットワークを踏み台を経由して移動する方法、ネットワークの内部スキャンおよび情報資産探索のためのネットワーク上のはじめの一歩の活用方法を掘り下げていきます。さらに、１つのホストの侵害が、攻撃者に特権的なネットワークインサイダーアクセスを与え、攻撃が新しい分野を切り開く方法と、そのアクセスを賢く利用して、検出システムを回避するためにホストやネットワーク上の痕跡を隠蔽する方法を見ていきます。また、攻撃者が最初のアクセスを確立したのち、侵害されたネットワークからどのようにアクセスし、データを収集し、流出させるかを見ていきます。そして、新しいスキルを永続的で長期的な記憶に変えるためのリソースとベストプラクティスを検討し、コース終了後のゴールはどこかを見定めて、コースの講義のコンポーネントを終了します。

演習

• Metasploitを使った先進的なネットワークピボッティング
• インサイダーネットワーク攻撃イベントの分析
• Windowsの乗っ取り：Responder攻撃
• 不正アクセス後のコマンド履歴解析
• Windowsサーバでの足跡隠ぺい
• Windowsイベントログの改ざん
• RITAを使ったネットワーク脅威ハンティング

トピック

エンドポイントセキュリティ製品の回避

• 実行可能な操作（ghostwriting)でEDRを回避
• WindowsDefenderの操作による攻撃シグニチャの公開
• LOLBASを利用してホワイトリストを回避
• 堅牢なプラットフォームでのMetasploitペイロードの実行

ピボッティングと横展開

• 最初の脆弱ポイントから内部ネットワークへのピボッティング（踏み台）
• Meterpreterペイロードでの効果的なポートフォワーディング
• 侵害されたホストを利用して内部ネットワークのスキャン、悪用を実行
• Windows netshと内部ネットワークアクセス攻撃

内部LANの攻撃

• 初回アクセスをネットワーク攻撃に活用
• パケットスニファー、MITMアタックツールの実装
• 侵害されたWindowsサーバでのネイティブパケットキャプチャー
• 脆弱なプロトコル：DNS、HTTP
• Flamingoを使ったネットワークサービスのなりすまし攻撃
• パスワード解析のためのWindows名前解決の悪用

足跡隠ぺい

• 侵害されたホストの操作によるアクセスの継続
• LinuxとWindowsのログファイルの編集
• WindowsADSの隠しデータ
• 隠れたコマンド＆コントロールを経由したネットワーク接続の持続

ディフェンススポットライト：Real Intelligence Threat Analytics (RITA)

• ネットワーク経由での先進的なCommand＆Control操作の特徴
• Zeekを使ったネットワークデータのキャプチャと解析
• ネットワーク脅威ハンティング：ビーコン、長時間接続、ストロボ、DNS解析

インシデント後のデータ収集

• 侵害されたLinuxホストからパスワード収集
• Mimikatzを使ったパスワードダンプとEDRのバイパス
• WindowsとmacOSのパスワードマネージャのクラック
• Windowsキーストロークログ攻撃
• いくつかのネットワークプロトコルを用いたデータ漏えい

コース終了後のゴールは？

• 勉強のための時間が足りないという悩みを解決するテクニック
• 忘却曲線のジレンマを理解する
• 学んだことを長期的に定着させるテクニック
• 資格取得に向けた学習戦略の構築、知識の応用

Capture the Flagイベント
Capture the Flag Event

長年にわたり、セキュリティ業界は攻撃者を食い止めるために、より賢く、より効果的になってきました。残念ながら、攻撃者自身も賢くなり、より洗練されてきています。攻撃者を阻止する最も効果的な方法の1つは、攻撃者が使用するのと同じツールや戦術で実際に環境をテストすることです。このCapture-the-Flagイベントは、最近侵害された架空の会社のコンサルタントとして働くという、1日体験型のイベントです。最新の洗練されたネットワーク環境を侵害するために攻撃者が使用するのと同じテクニックを使用して、授業で学んだスキルをすべて活用します。グループでチームを組んで、Windows、Linux、Io T、クラウドなど、サイバー上のさまざまなターゲットシステムを対象に、スキャン、エクスプロイト、ポストエクスプロイトのタスクを行います。このハンズオンチャレンジは、現代のネットワークを再現した環境の中で、各プレイヤーがそれぞれのスキルを練習し、コース全体で学んだ概念を強化することができるように設計されています。NetWarsエンジンを搭載したこのイベントでは、ターゲットシステムへの侵入、エンドポイント保護プラットフォームの回避、内部ネットワークの高価値ホストへの移行、ターゲット組織にとって最大の価値を持つデータの流出を成功させるためのガイドをプレイヤーに提供します。優勝者にはSEC504チャレンジコインが贈られます。

トピック

ハンズオン

• ユーザパスワードの問題を悪用
• スキャンや調査分析の完了
• OSINTリソースを使ってターゲットネットワークに関する情報の収集
• 偵察用データと公開されたエクスプロイトとのマッチング
• Linux および Windows システムでの特権のエスカレーション
• 一般的なWindowsドメインの脆弱性の悪用
• 侵害されたシステムのデータの盗聴
• 最初に侵害したネットワークから内部ネットワークへの移行
• ネットワーク侵害後の攻撃者のアーティファクトの特定