ニュースレター登録
資料ダウンロード
お問い合わせ

SECURITY 504

Hacker Tools, Techniques, and Incident Handling

Penetration Testing and Ethical Hacking

English
日程

2023年12月4日(月)~12月9日(土)

期間
6日間
講義時間

1日目:9:00 ~ 19:45
2~6日目:9:30 ~ 17:30

受講スタイル
ハイブリッド (LiveOnlineとOnsiteの同時開催)
会場

◆LiveOnline形式
オンライン

◆Onsite形式(予定)
 御茶ノ水トライエッジカンファレンス(https://try-edge.infield95.com/
 東京都千代田区神田駿河台4-2-5 御茶ノ水NKビル(トライエッジ御茶ノ水)11階

GIAC認定資格
GCIH
講師
Shintaro Watanabe|渡辺 慎太郎
NRIセキュア認定 SANSトレーニング・インストラクター
言語
日本語 日本語講座・一部日本語教材
定員
40名
CPEポイント
38 point
受講料

早期割引価格:900,000 円(税込み 990,000円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

通常価格:990,000円(税込み 1,089,000円)

申込締切日
早期割引価格:2023年11月10日(金)
通常価格:2023年11月24日(金)
オプション
  • GIAC試験 価格:135,000円(税込み 148,500円)
  • NetWars Continuous 価格:235,000円(税込み 258,500円)
  • 英語教材 価格:40,000円(税込み 44,000円)

※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。

※コース本体のお申し込み後から講義開始までの間に、GIAC試験オプションを追加される場合は、事務手数料10,000円(税込み11,000円)をいただきます。

※講義開始後のGIAC試験のお申込みは、こちらのページ(英語)をご参照のうえ、GIACへ直接お申し込みください。

※講義開始後の英語教材の追加お申し込みは承れませんのでご了承ください。

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

SEC504 PC設定詳細

重要!次の手順に従ってシステムを構成してください。

このコースの全てに参加するためには、適切に設定されたシステムが必要です。この説明をよくお読みになり、それに従っていただかないと、このコースに不可欠なハンズオン演習に参加することができず、満足のいく講義を受けていただくことができません。したがって、このコースで指定されたすべての要件を満たすシステムを用意することを強くお勧めします。

授業の前にシステムのバックアップを取っておくことが重要です。 また、機密データが保存されているシステムは持ち込まないことを強くお勧めします。

ノートパソコンのハードウェア要件

  • CPU: 64ビットIntel i5/i7(第8世代以降)、またはAMD同等品。このクラスでは、64ビット、2.0GHz以上のプロセッサーが必須。
  • 重要: M1/M2プロセッサーを使用するAppleシステムは、必要な仮想化機能を実行できないため、このコースでは使用できません。
  • 「Intel-VTx」や「AMD-V」拡張機能など、仮想化技術を有効にするためのBIOS設定が必要です。
    変更が必要な場合に備えて、BIOSがパスワードで保護されている場合は、絶対にアクセスできるようにしてください。
  • 16GB以上のRAMが必要です。
  • 100GB以上のストレージ空き容量が必要です。
  • 利用可能なUSB 3.0 Type-Aポートが1つ以上あること。新しいノートパソコンには、Type-CからType-Aへのアダプタが必要な場合があります。
    エンドポイントプロテクションソフトウェアの中にはUSBデバイスの使用を禁止しているものもありますので、授業前にUSBドライブでシステムをテストしてください。
  • ワイヤレスネットワーク(802.11規格)が必要です。教室では有線のインターネット接続はできません。

ホスト構成とソフトウェア要件

  • ホストOSは、Windows 10、Windows 11、またはmacOS 10.15.x以降の最新バージョンである必要があります。
  • 授業前にホストOSを完全にアップデートし、正しいドライバとパッチがインストールされていることを確認してください。
  • Linuxホストはバリエーションが多いため、教室ではサポートしていません。Linuxをホストとして使用する場合、コース教材および/またはVMと連動するように設定する責任は各自にあります。
  • ローカル管理者アクセスが必要です。(これは絶対に必要です。ITチームにそうでないと言わせないでください)。受講期間中、会社がこのアクセスを許可しない場合は、別のノートパソコンを持参するよう手配してください。
  • ウイルス対策ソフトやエンドポイント保護ソフトが無効になっていること、完全に削除されていること、またはそのための管理者権限を持っていることを確認してください。私たちのコースの多くは、オペレーティングシステムへの完全な管理者アクセスを必要とし、これらの製品はラボの達成を妨げる可能性があります。
  • 退出トラフィックのフィルタリングは、あなたのコースのラボの達成を妨げる可能性があります。ファイアウォールは無効にするか、無効にするための管理者権限を持ってください。
  • VMware Workstation Pro 16.2.X+またはVMware Player 16.2.X+(Windows10ホスト用)、VMware Workstation Pro 17.0.0+またはVMware Player 17.0.0+(Windows11ホスト用)、VMWare Fusion Pro 12.2+またはVMware Fusion Player 11.5+(macOSホスト用)をクラス開始前にダウンロードし、インストールしてください。VMware Workstation ProまたはVMware Fusion Proのライセンスをお持ちでない方は、VMwareから30日間の無料トライアル版をダウンロードできます。VMwareのウェブサイトからトライアルに登録すると、期間限定のシリアル番号が送られてきます。また、VMware Workstation PlayerはVMware Workstation Proよりも機能が少ないことに注意してください。Windowsホスト・システムを使用している場合は、よりシームレスな学生体験のためにWorkstation Proをお勧めします。
  • Windowsホストでは、VMware製品はHyper-Vハイパーバイザーと共存できない場合があります。VMwareが仮想マシンを起動できることを確認してください。そのためには、Hyper-Vを無効にする必要があります。Hyper-V、Device Guard、およびCredential Guardを無効にする方法は、コース教材に付属のセットアップ・ドキュメントに記載されています。
  • 7-Zip (Windows ホスト用) または Keka (macOS ホスト用) をダウンロードしてインストールします。これらのツールもダウンロードしたコース教材に含まれています。

コースのメディアがダウンロードで配信されるようになりました。授業で使用するメディアファイルは大容量で、40~50GBのものもあります。ダウンロードが完了するまでに十分な時間を確保する必要があります。インターネット接続の速度次第でダウンロードに要する時間は大きく異なり、様々な要因に左右されるため、教材のダウンロードにかかる時間を正確に見積もることはできません。リンクを取得したら、すぐにコースメディアのダウンロードを開始してください。コースメディアは授業初日にすぐに必要になります。授業が始まる前夜になるまでダウンロードを開始するのを待っていると、失敗する可能性が高まります。
コース教材には「セットアップ手順」という文書が含まれています。この文書には、ライブ・クラスのイベントに参加する前、またはオンライン・クラスを開始する前に行わなければならない重要な手順の詳細が記載されています。これらの手順を完了するには、30分以上かかる場合があります。

ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください。

SEC504 コース概要

インターネットは強力なハッキング・ツールに満ちており、悪人たちはそれを広範囲に利用している。インターネットに接続している組織や、不満を持つ従業員が1人か2人いれば(いない組織もある!)、コンピューター・システムは攻撃を受けるだろう。インターネット・インフラに対する毎日の数百から数千のプローブから、最も重要な情報資産にじわじわと忍び寄る悪意のある内部関係者に至るまで、攻撃者はますます悪質かつ巧妙に、あなたのシステムを標的にしています。防御側としては、これらのハッキング・ツールやテクニックを理解することが不可欠です。

このコースでは、コンピュータ攻撃者の戦術と戦略を理解し、脆弱性の発見と侵入の発見を実践的に経験し、包括的なインシデント対応計画を身につけることで、コンピュータ攻撃者に形勢を逆転することを可能にします。本書は、最先端の陰湿な攻撃ベクトルから、今なお蔓延している「古くて良い」攻撃、そしてその中間のものまで、あらゆるものを取り上げています。このコースでは、単にハッキング攻撃のトリックを教えるのではなく、コンピュータ・インシデントに対応するための、時間をかけて実証されたステップ・バイ・ステップのプロセスを提供し、攻撃者がどのようにシステムを弱体化させるかを詳細に説明することで、インシデントの予防、検出、対応ができるようにします。最後に、システムのスキャン、悪用、防御に焦点を当てた実践的なワークショップに参加します。これらのスキルを自分の組織で応用することで、悪者より先にシステムの欠陥を発見することができるようになります!

このコースは、インシデント処理チームを率いる、あるいはその一員である人に特に適しています。一般的なセキュリティ実務者、システム管理者、セキュリティ・アーキテクトは、攻撃を阻止するためのシステムの設計、構築、運用方法を理解することで利益を得ることができる。

SEC504では、以下のことを学びます。

  • 侵入に備える最善の方法
  • 多くのコンピューター攻撃者が使用する段階的アプローチ
  • コンピューター攻撃の各段階における事前防御と事後防御
  • アクティブな攻撃と侵害を識別する方法
  • 最新のコンピュータ攻撃ベクトルとそれを阻止する方法
  • 攻撃を適切に封じ込める方法
  • 攻撃者が戻ってこないようにする方法
  • コンピュータ攻撃から復旧し、ビジネスのためにシステムを復元する方法
  • ハッキング・ツールとテクニックの理解と使用方法
  • 各種攻撃を検出するための戦略とツール
  • アプリケーション・レベルの脆弱性、攻撃、防御方法
  • インシデント処理プロセスを開発し、戦闘に備えてチームを準備する方法
  • インシデント処理における法的問題

コース開発者より

「18歳のとき、学校のカードカタログサーバーをハッキングして捕まった。退学になる代わりに学校の職員になり、それから10年間、ハッカーツールの使い方、エクスプロイトの書き方、新しいテクニックの開発、そして猛攻撃にどう対応するかを考えながら、セキュリティの向上に努めました。その間に、自分が管理する防御能力を評価し、改善するために、攻撃者のテクニックを真に理解することの利点を理解するようになりました。
SEC504では、インシデント・レスポンス・アナリストの視点から、現代の攻撃者が使用するハッカー・ツール、テクニック、エクスプロイトについて掘り下げます。偵察から悪用、スキャンからデータ略奪まで、あらゆることをカバーします。コースの講義、実習、没頭型のキャップストーンイベントにより、ネットワークセキュリティに関する賢明な意思決定を行うために必要なツールとテクニックを身につけることができます。ハッカーがどのように活動しているかを学べば、攻撃を特定し、洗練された敵からネットワークを保護する準備が整います。」
- Joshua Wright


「講師のJoshは信じられないほど素晴らしかったです。魅力的で、熱心で、非常に知識が豊富です(特にvim)。彼の熱意は伝染し、教材に対するモチベーションを高めてくれました。これからも素晴らしい仕事を続けてください!」
- Jen F., US Federal Agency

GIAC (Certified Incident Handler)

※SEC504は、GIAC(GCIH)認定試験対象コースです。

GIAC Certified Incident Handler

GIAC Certified Incident Handlerは、コンピュータセキュリティインシデントを検出、対応、および解決するために必要な、幅広いセキュリティスキルを備えた実践者の能力を検証します。
GCIH認証保有者は、一般的な攻撃手法、ベクター、ツールを理解することにより、セキュリティインシデントを管理するために必要な知識を持っているだけでなく、そのような攻撃が発生した場合に防御し、対応します。

  • インシデント対応とコンピュータ犯罪の調査
  • コンピュータ/ネットワークハッカーの悪用
  • ハッカーツール(Nmap、Metasploit、Netcat)

講義内容

  • Day1
  • Day2
  • Day3
  • Day4
  • Day5
  • Day6

着実なインシデント対応とサイバー犯罪捜査
Incident Handling Step-by-Step and Computer Crime Investigations

規模の大小にかかわらず、インシデントへの対応は複雑な作業である。効果的な対応には、ビジネスや情報セキュリティの関係者を含め、複数の利害関係者による慎重な検討と意見が必要である。日々新たな脆弱性が発見される中、侵入の可能性は常に存在する。オンライン侵入だけでなく、火災、洪水、犯罪などの物理的なインシデントが発生した場合、システムやサービスをできるだけ迅速かつ安全にオンラインに戻すために、しっかりとしたインシデント対応のアプローチが必要となります。
このコースでは、まず、インシデント対応とデジタル調査の重要な構成要素を検討します。いくつかのインシデントから情報を得て、事業運営とセキュリティの双方にとって重要な目標と成果を検討します。このダイナミックなアプローチは、個々のビジネスやインシデントの特定のニーズに適用することができます。その後、より実践的な問題に移り、ライブ・システムを取り巻く問題や異常な活動の特定について検討する。引き続き、ネットワークとメモリから証拠を調べるための調査技法に焦点を当てます。また、未知のプログラムが悪意のあるものであるかどうか、悪意のあるものであればどのような足跡が残されているのかを判断する技術についても取り上げます。

演習

  • Windowsのライブ調査
  • ネットワーク調査
  • メモリ解析
  • マルウエア解析

トピック

インシデントレスポンス
  • よくあるインシデント対応の間違い
  • インシデントのゴールとマイルストーン
  • インシデント発生後の活動
デジタル調査
  • 適切な質問と回答
  • 調査中の方向転換
  • メモを取り、報告書を書く
  • アーティファクトとイベントベースのタイムライン
ライブレスポンス
  • 最小限の情報でも始める方法

  • ライブ環境の調査

  • 異常な活動の特定

デジタル証拠
  • デジタル証拠とは何か、どのように収集するかを理解する
  • チェーン・オブ・カストディの役割と要素
  • デジタル証拠の収集方法
ネットワーク調査
  • tcpdumpを使ったパケットキャプチャの分析
  • ウェブプロキシログ
メモリ解析
  • ボラティリティ・フレームワークを使ってメモリ・イメージを調査する方法
マルウエア解析
  • マルウェア調査の基本的アプローチ
  • マルウェアを扱う際のベストプラクティス
  • スナップショットおよび継続記録ツールを使用した環境の監視

情報収集、スキャン、列挙手法
Recon, Scanning, and Enumeration Attacks

ネットワークは、潜在的な攻撃者に膨大な量の情報を提供しています。情報漏えいやオープンソースのインテリジェンスを探すだけでなく、攻撃者はシステムの詳細なスキャンを行い、防御を突破するための隙を探します。ネットワークに侵入するために、攻撃者は脆弱なDMZシステムやターンキー・プラットフォーム、脆弱なWi-Fiや独自の無線システムなど、好機となるターゲットを探し出します。攻撃者はまた、複雑なWindows Active Directoryドメインの詳細なスキャンと尋問を活用し、構成ポリシーを特定して操作することで、大きなアドバンテージを得ようとします。

このコースでは、多くのサイバー攻撃の初期段階に関連する詳細を取り上げます。MITRE ATT&CK Frameworkを通じて、現代の攻撃者のツール、テクニック、プラクティスを理解するための重要なフレームワークを紹介し、これを出発点として攻撃者が採用する攻撃前のステップを調査します。ローカルおよびクラウドベースのツールを活用して、標的組織の効果的な偵察を行い、最初の侵害のための弱点を明らかにする情報開示を特定します。その後、ネットワークの観点から、また最新のWindows Active Directoryフォレストの複雑さに焦点を当てながら、スキャン技術を深く掘り下げ、攻撃者に特権アクセスを与える攻撃計画を立案します。また、組織に対する攻撃を検知するための優位性を提供する、フリーおよびオープンソースのツールを使用した防御テクニックにもスポットを当てます。

演習

  • 攻撃偵察のためのオープンソースインテリジェンス(OSINT)の活用
  • 不正、悪意のある、設定ミスのアクセス・ポイントのWi-Fiネットワーク・スキャン
  • Nmapによるサーバーの列挙と分析
  • 脆弱性スキャンとスキャン結果の優先順位付けテクニック
  • Windowsネットワーク・スキャンとデータ・ハーベスティング技術
  • ディフェンス・スポットライト DeepBlueCLI

パスワード攻撃と不正アクセス
Password and Access Attacks

どの攻撃者も同じことを言うだろう。パスワードによる侵害は、エクスプロイトによる侵害よりも優れている。有効なユーザー名とパスワードを使ったシステム・アクセスは、エクスプロイトよりも信頼性が高いだけでなく、認証された認証情報を使うことで通常のシステム使用に溶け込み、検知につながるログやシステム異常が少なくなります。このような攻撃は非常に一般的であるため、パスワードベースの攻撃について詳しく説明し、防御すべき洗練された敵対者と同じスキルとテクニックでシステムをテストするためのツールを提供します。

このコースでは、パスワード推測攻撃から始まり、攻撃者がアカウントロックアウトのような防御システムを迂回する効果的なプロセスとして採用するテクニックを迅速に調査します。他のネットワーク侵害から効果的なパスワード推測リストを作成する重要なトピックや、攻撃者が組織に対してユーザーパスワードの再利用をどのように活用するかについて調査します。パスワード・ハッシュの背後にあるアルゴリズムについて掘り下げ、いくつかのツールを使って平文パスワードを回復する一方、クラッキング・プロセスを数年ではなく数日で完了するように最適化します。また、簡単なバックドア、フォワード・シェルとリバース・シェル、組織内の離散的なデータ転送の使用を通して、本質的なネットワーク攻撃のトピックを理解するためのスタートを切ります。また、組織内の認証ログを監視するためのドメインパスワード監査ツール(DPAT)やElastic Stack(旧ELK)ツールの使用など、仕事に戻ったときにすぐに適用できる防御策についても調査します。

演習

  • Hydraによるオンラインパスワード推測攻撃
  • ディフェンス・スポットライト Elastic Stackによるパスワード推測攻撃の分析
  • HashcatとJohn the Ripperを使用した効果的なパスワードクラッキング
  • ディフェンス・スポットライト DPATを使用したドメイン・パスワード暴露分析
  • Netcatによるデータ流出、スキャン、ピボッティング

トピック

パスワード攻撃
  • 攻撃者はどのようにアカウントロックアウトポリシーを回避するか
  • パスワード推測攻撃のターゲット・プロトコルの選択
  • パスワードリストの選択テクニック
  • 攻撃者はどのようにあなたの組織に対して妥協したパスワード・リストを再利用するか
  • パスワード・クラッキングのテクニック
  • 組織におけるパスワード・クラッキングの推奨事項
ディフェンス・スポットライト Elastic Stack(旧ELK)によるログ分析
  • Elasticsearch、Logstack、Beats、Kibanaによる軽量なログ分析システムの構築
  • LinuxおよびUNIX認証ログデータの理解
  • シンプルなログ取り込みのためのFilebeatの設定
  • Kibanaを使用したパスワード攻撃イベントの特定
  • 効果的な脅威ハンティングのためのKibana可視化のカスタマイズ
パスワードハッシュの理解
  • ハッシュアルゴリズム、プロセス、および問題
  • Windows Server 2019を通じたWindowsハッシュ関数の理解
  • パスワードハッシュ関数の強度と品質メトリクス
  • 組み込みツールを使用したWindowsドメインパスワードハッシュの抽出
  • Windows 10システムからパスワードハッシュを取得する
  • UNIXおよびLinuxパスワード・ハッシュの解読
  • GPUベースのクラッキングの軽減: PBKDF2、bcrypt、scrypt
パスワードクラッキング攻撃
  • John the Ripper: シングル、ワードリスト、インクリメンタル、外部クラッキングモード
  • Hashcatによるハッシュのクラッキング:ストレートアタックとコンビネータアタック
  • マスク攻撃による効果的なハッシュ計算
  • Hashcatルールでユーザーのパスワード選択の弱点を破る
  • パスワード・クラッキングを破る3つのシンプルな戦略
ディフェンス・スポットライト ドメインパスワード監査
  • 簡単なPowerShellの1行スクリプトでWindowsドメイン設定を列挙する
  • ユーザーパスワード選択におけるシステム的な振る舞いを特徴付ける
  • 組織内の悪質なパスワード犯罪者の特定
  • Windowsドメインにおけるパスワード共有の緩和
Netcat:攻撃者の強い味方
  • ファイルの転送、バックドアの作成、シェルのかき集め
  • Netcatリレーによる攻撃源の隠蔽
  • Netcatを使ったリプレイ攻撃

 

外部からの攻撃とDrive-By攻撃
Public-Facing and Drive-By Attacks

公開型攻撃やドライブバイ攻撃は、組織にとって重大なリスク領域であり、組織を標的とする敵対者にとって一般的な攻撃ベクトルです。ウェブ・アプリケーション、VPN サーバー、電子メール・システム、その他のサポート・プロトコルのようなパブリックな標的は、敵によって素早く特定され、脆弱性を評価されます。ドライブ・バイ・アタックでは、敵対者はサードパーティのウェブサイトに内在する信頼を危うくし、それを利用して、ユーザーを騙してシステムを脆弱にするような行動を取らせます。

このコースでは、Metasploit のようなエクスプロイト・フレームワークを通して、公開されているシステムを侵害するためのハッカー・ツールを検証します。また、ドライブ・バイ攻撃や水飲み場攻撃の背後にある概念とテクニック、そして攻撃者が悪意のあるインストーラ、ブラウザのJavaScript、悪意のあるMicrosoft Office文書を通じて、どのようにエクスプロイトとシステム侵害ツールを作成するかについても掘り下げます。認証されていないユーザーと認証されたユーザーの両方の視点から、組織内のウェブ・アプリケーションに特有の攻撃を検証し、最も一般的なウェブ・アプリケーションの脆弱性に対する実践的な攻撃手順を紹介します。ハッカー・ツールの検証に加え、Windows SRUMデータベースを使用した履歴システム・アクティビティ・レポートや、Elastic Stack(旧ELK)ツールを使用したWebサーバー・ロギング・データの評価による攻撃の兆候の特定など、自由に利用できる実用的な防御策についても調査します。

演習

  • Metasploitによる攻撃と分析
  • ソフトウェア・アップデート ブラウザの悪用
  • システムリソース利用 データベース分析
  • コマンドインジェクション攻撃
  • クロスサイトスクリプティング攻撃
  • SQLインジェクション攻撃
  • SQLインジェクション・ログ分析

トピック

システム侵害にメタスプロイトを使う
  • 特定の攻撃目標のためにメタスプロイトフレームワークを使用する
  • エクスプロイトと偵察データのマッチング
  • Metasploit Meterpreterコマンド&コントロールの展開
  • システムとネットワーク上のMetasploitエクスプロイトアーティファクトを特定する
ドライブバイ攻撃と水飲み場攻撃
  • ブラウザの攻撃対象領域の調査
  • JavaScriptでブラウザの脆弱性を特定する
  • コード実行型Microsoft Office攻撃
  • 攻撃者のペイロードで正規コードをバックドアする
ディフェンススポットライト:システムリソース利用量モニタ(SRUM)
  • Windows 10のアプリ履歴を使用した攻撃者の活動の評価
  • 保護されたSRUMデータベースからの有用なデータの抽出
  • 生の SRUM データをエクスプロイト後の有用な分析に変換する
ウェブアプリケーション攻撃
  • ユーザー列挙のためのアカウントハーベスティング
  • Webサーバーのリモートコマンドインジェクションのためのコマンドインジェクション攻撃
  • SQL インジェクション: バックエンドデータベースの操作
  • セッションクローニング: 他のユーザーのウェブセッションを奪取
  • クロスサイト・スクリプティング 被害者のブラウザセッションの操作
防御のスポットライト 効果的なウェブサーバーのログ分析
  • Elastic Stack(ELK)ツールを使用した攻撃後のログ分析
  • FilebeatをWebサーバのログ消費用に設定する
  • Kibana Query Language(KQL)を使用したカスタムWeb攻撃の特定
  • 一般的なSQLインジェクション攻撃シグネチャの検出
  • CyberChefによる難読化された攻撃シグネチャの解読

回避と侵入後の攻撃
Evasion and Post-Exploitation Attacks

単にシステムを侵害することが攻撃者の目的であることは稀です。多くの場合、攻撃者による侵害が最初のステップであり、その後、ネットワークへの追加アクセスや組織内の機密データを取得するための攻撃が続きます。その過程で、攻撃者は、エンドポイント保護、サーバーのロックダウン、権限制限環境など、攻撃者の努力を阻止するために設計された防御コントロールにも対処しなければなりません。

このコースでは、最初の侵害が終わった後の攻撃者のステップについて検討します。攻撃者がエンドポイント検出および対応プラットフォームを迂回した後にマルウェアを埋め込むために使用するテクニック、サードパーティ製ツールやビルトインツールを使用してネットワーク内を移動する方法、内部ネットワークスキャンや資産発見にネットワーク上の最初の足場を活用する方法について掘り下げます。単一のホストの侵害によって、攻撃者が特権的なネットワーク・インサイダー・アクセス権を得て、まったく新しい攻撃の分野を切り開く方法と、そのアクセス権を賢く利用し、ホスト上とネットワーク上の痕跡を消して検知システムを回避する方法について見ていきます。また、攻撃者がどのようにして最初のアクセスを確立した後、侵害されたネットワークにアクセスし、データを収集し、流出させるかを見ていきます。講義の最後には、新しいスキルを永続的かつ長期的に思い出すためのリソースやベスト・プラクティスを検討し、今後の学習の方向性について説明します。

演習

  • Metasploitによる高度なネットワーク・ピボッティング
  • インサイダーネットワーク攻撃イベント分析
  • Windowsを乗っ取る レスポンダ攻撃
  • エクスプロイト後のコマンド履歴解析
  • Windowsサーバー上の貴重なデータを隠す(そして見つける
  • Windowsイベントログの選択的編集
  • RITAを使ったネットワーク脅威ハンティング

トピック

エンドポイントセキュリティ製品の回避
  • 実行ファイル操作によるEDR分析の回避:ゴーストライティング

  • 攻撃シグネチャ公開のためのWindows Defenderの操作

  • LOLBASを使用したアプリケーションのホワイトリスト回避

  • 保護されたプラットフォーム上でMetasploitペイロードを適応する

ピボッティングと横展開
  • 最初の侵害から内部ネットワークへの移行
  • Meterpreterペイロードによる効果的なポート転送
  • 内部ネットワークのスキャンと悪用のための侵害ホストの活用
  • Windows netshと攻撃者による内部ネットワークへのアクセス
特権インサイダー・ネットワーク攻撃
  • ネットワーク攻撃のための初期アクセスの活用
  • パケットスニッファ、MITM攻撃ツールの導入
  • 侵害されたWindowsホスト上でのネイティブパケットキャプチャ
  • 脆弱なプロトコルの悪用 DNS、HTTP
  • Flamingoを使ったネットワークサービスなりすまし攻撃
  • Windowsの名前解決を悪用したパスワード漏洩
足跡隠ぺい
  • 感染したホストの操作によるアクセス維持
  • LinuxおよびWindowsシステム上のログファイルの編集
  • Windows ADSにデータを隠す
  • 隠されたコマンド&コントロールによるネットワークの永続化
ディフェンススポットライト:Real Intelligence Threat Analytics (RITA)
  • ネットワーク上の高度なコマンド&コントロール活動の特徴づけ
  • Zeekによるネットワークデータの取得と処理
  • ネットワーク脅威ハンティング:ビーコン、ロング・コネクション、ストローブ、DNS分析
侵入後のデータ収集
  • 侵害されたLinuxホストからパスワードを収集
  • MimikatzとEDRバイパスによるパスワード・ダンプ
  • WindowsおよびmacOSのパスワード・マネージャーを破る
  • Windowsキーストローク・ロギング攻撃
  • 混合ネットワーク・プロトコルによるデータ流出

 

今後の課題
  • 勉強時間が必要という問題を解決するテクニック
  • 忘却曲線のジレンマを理解する
  • 学習したことを長期的に維持するためのテクニック
  • 資格取得のための学習戦略を構築し、知識を応用する

Capture the Flagイベント
Capture the Flag Event

長年にわたり、セキュリティ業界はより賢く、より効果的に攻撃者を阻止できるようになってきた。残念ながら、攻撃者自身もより賢く、より巧妙になっている。攻撃者を阻止する最も効果的な方法の1つは、攻撃者があなたに対して使用するのと同じツールや戦術で実際に環境をテストすることです。当社のCapture-the-Flagイベントは、最近情報漏えいを受けた架空の企業のコンサルタントとして働いていただく1日体験型のアクティビティです。最新の高度なネットワーク環境を侵害するために攻撃者が使用するのと同じテクニックを使って、授業で学んだスキルをすべて実践します。チームとして協力し、少人数のグループで、Windows、Linux、モノのインターネット、クラウドターゲットなど、さまざまなターゲットシステムに対してスキャン、エクスプロイト、およびエクスプロイト後のタスクを実行します。この実践的なチャレンジは、プレーヤーがスキルを練習し、コースを通して学んだコンセプトを強化しながら、現代のネットワークを再現した環境で個々のプレーヤーに挑戦できるように設計されています。NetWarsエンジンを搭載したこのイベントは、ターゲットシステムの侵害、エンドポイント保護プラットフォームのバイパス、内部ネットワークのハイバリューホストへのピボット、ターゲット組織にとって最も価値のあるデータの流出を成功させるようプレイヤーを導きます。優勝者には、SEC504チャレンジコインが授与されます。

トピック

  • ハンズオン分析
  • ユーザーパスワードの不正使用の搾取
  • スキャン、偵察分析の完了
  • OSINTリソースを使用してターゲットネットワークに関する情報を収集する
  • 偵察データと公開エクスプロイトのマッチング
  • Linux と Windows システムでの特権の昇格
  • Windows ドメインの一般的な脆弱性の悪用
  • 侵害されたシステム上のデータの略奪
  • 最初の侵害から内部ネットワーク・アクセスへの移行
  • ネットワーク侵害後の攻撃者の成果物の特定

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。