ニュースレター登録
資料ダウンロード
お問い合わせ

SECURITY 699

Advanced Purple Teaming - Adversary Emulation & Detection Engineering

Purple Team

English
日程

2024年12月2日(月)~2024年12月6日(金)

期間
5日間
講義時間

1日目:9:00~17:30
2日目~5日目:9:30~17:30

受講スタイル
Live Online
会場

オンライン

GIAC認定資格
講師
Bryce Galbraith|ブライス ガルブレイス
SANSプリンシパルインストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
36 Points
受講料

早期割引価格:1,220,000 円(税込み 1,342,000 円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

通常価格:1,350,000 円(税込み 1,485,000 円)

申込締切日
早期割引価格:2024年10月18日(金)
通常価格:2024年11月22日(金)
オプション
  • OnDemand  160,000円(税込み 176,000円)
  • NetWars Continuous  270,000円(税込み 297,000円)

※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。

現在お申込みを受け付けておりません

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

SEC699 PC設定詳細

【重要】次の手順に従って構成したシステムを準備してください。

このコースへフル参加するためには適切に構成されたシステムが必要です。この指示を注意深くお読みいただいて従っていただけない場合、このコースに不可欠となっている実践型演習に参加できず、ご受講の満足度を下げてしまう可能性があります。つきましては、指定されているすべての要件を満たすシステムを用意いただくことを強くお勧めします。

授業の前にシステムをバックアップしておくこと。より良い方法は、機密データやクリティカルなデータのないシステムを使用することです。SANSはあなたのシステムやデータについて責任を負いません。

ノートパソコンのハードウェア要件

  • CPU: 64ビットIntel i5/i7(第8世代以降)、またはAMD同等品。このクラスでは、64ビット、2.0GHz以上のプロセッサーが必須。
  • 重要: アップルシリコンデバイスは必要な仮想化を行うことができないため、このコースでは一切使用できません。
  • 「Intel-VTx」や「AMD-V」拡張機能など、仮想化技術を有効にするためのBIOS設定が必要です。変更が必要な場合に備えて、BIOSがパスワードで保護されている場合は、絶対にアクセスできるようにしてください。
  • 8GB以上のRAMが必要です。
  • 200GB以上のストレージ空き容量が必要です。
  • 利用可能なUSB 3.0 Type-Aポートが1つ以上あること。新しいノートパソコンには、Type-CからType-Aへのアダプタが必要な場合があります。エンドポイントプロテクションソフトウェアの中にはUSBデバイスの使用を禁止しているものもありますので、授業前にUSBドライブでシステムをテストしてください。
  • ワイヤレスネットワーク(802.11規格)が必要です。教室での有線インターネットアクセスはありません。

このコースの追加要件

  • このコースで実習を行うには、Amazon Web Services(AWS)のアカウントが必要です。SANSは、ライブおよびライブオンラインイベントの期間中、AWSアカウントを提供します。ただし、教室外での使用やOnDemand受講者には、AWSアカウントは提供されません。授業開始前にAWSアカウントを作成してください。使用可能なAWSアカウントにアクセスできない場合、ハンズオンラボの実行が遅れます。
  • このクラスで個人的なAWSアカウントが必要な場合、見積もり費用は約50ドルですが、ラボの指示から外れた場合はそれ以上になる可能性があります。

ノートパソコンのホストOS要件とソフトウェア要件

  • ホストOSは、Windows 10、Windows 11、またはmacOS 10.15.x以降の最新バージョンである必要があります。
  • 正しいドライバとパッチがインストールされていることを確認するため、授業前にホストOSを完全にアップデートしてください。
  • Linuxホストはバリエーションが多いため、教室ではサポートしていません。Linuxをホストとして使用する場合、コース教材および/またはVMと連動するように設定する責任は各自にあります。
  • ローカル管理者アクセスが必要です。(これは絶対に必要です。ITチームにそうでないと言わせないでください)。受講期間中、会社がこのアクセスを許可しない場合は、別のノートパソコンを持参するよう手配してください。
  • ウイルス対策ソフトやエンドポイント保護ソフトが無効になっていること、完全に削除されていること、またはそのための管理者権限を持っていることを確認してください。私たちのコースの多くは、オペレーティングシステムへの完全な管理者アクセスを必要とし、これらの製品はラボの達成を妨げる可能性があります。
  • アウトバウンドトラフィックのフィルタリングは、あなたのコースのラボの達成を妨げる可能性があります。ファイアウォールは無効にするか、無効にするための管理者権限を持ってください。
  • VMware Workstation Pro 16.2.X+またはVMware Player 16.2.X+(Windows10ホスト用)、VMware Workstation Pro 17.0.0+またはVMware Player 17.0.0+(Windows11ホスト用)、VMWare Fusion Pro 12.2+またはVMware Fusion Player 11.5+(macOSホスト用)をクラス開始前にダウンロードし、インストールしてください。VMware Workstation ProまたはVMware Fusion Proのライセンスをお持ちでない方は、VMwareから30日間の無料トライアル版をダウンロードできます。VMwareのウェブサイトからトライアルに登録すると、期間限定のシリアル番号が送付されます。また、VMware Workstation PlayerはVMware Workstation Proよりも機能が少ないことに注意してください。Windowsホスト・システムを使用している場合は、よりシームレスな学生体験のためにWorkstation Proをお勧めします。
  • Windowsホストでは、VMware製品はHyper-Vハイパーバイザーと共存できない場合があります。VMwareが仮想マシンを起動できることを確認してください。そのためには、Hyper-Vを無効にする必要があります。Hyper-V、Device Guard、およびCredential Guardを無効にする方法は、コース教材に付属のセットアップ・ドキュメントに記載されています。
  • 7-Zip (Windows ホスト用) または Keka (macOS ホスト用) をダウンロードしてインストールします。これらのツールもダウンロードしたコース教材に含まれています。

コースウェアはダウンロードで配信されます。ファイルのサイズは大きく、多くは40~50GBの範囲で、中には100GBを超えるものもあります。ダウンロードを完了させるためには十分な時間が必要です。インターネット接続と速度はさまざまでありいろいろな要因によって異なるため、コースウェアのダウンロードにかかる時間を見積もることはできません。コースウェアのダウンロードのためのリンクを取得したら、すぐにダウンロードを開始してください。講義の初日にはすぐ教材が必要になります。講義開始の前夜までダウンロードを待つと、講義への参加がうまくいかなくなる確率が高くなります。

コース教材には「セットアップ手順」という文書が含まれています。この文書には、ライブ・クラスに参加する前、またはオンライン・クラスを開始する前に行うべき重要な手順が詳細に記載されています。これらの手順を完了するには、30分以上かかる場合があります。

ノートパソコンの仕様についてご質問がある場合は、laptop_prep@sans.org までご連絡ください。

SEC699 コース概要

SEC 699は、パープルチームに関するSANSの先進的なコースです。このコースでは、データ侵害の防止・検知のための攻撃者エミュレーションに重点を置き、現実の企業や組織の環境に脅威アクターをエミュレートする方法について学習します。このコースの目標は、どのように攻撃者の技術をエミュレート・検知できるかを受講生に教示することにあります。

SEC 599コースとつながりを持つ高度なSANSのコースであり、授業時間の60%が演習に充てられています。主な内容には次の項目を含みます。

  • Ansible、Docker、Terraformなどの一般的な自動化戦略に関する講義。こうしたツールにより、マルチドメインのエンタープライズ環境を構築して、ボタンを押すだけで攻撃者をエミュレートが可能となります
  • パープルチーミングのための適切なプロセス、ツール、およびプランニング
  • CovenantやCalderaなどのツールを使った、APT-28、APT-34、Turlaのような現実世界での脅威アクターを模した攻撃者エミュレーション計画立案
  • Kerberosデリゲーション攻撃、攻撃面の縮小、Applockerのバイパス、EDR製品のバイパス、AMSI、プロセス・インジェクション、COM Objectハイジャッキングなどの詳細
  • 上に挙げた手口を検知するためのSIGMAルールの作成
  • あなたのエミュレーション能力が試される、ダイナミックなキャップストーンです。

SEC699は、SEC599の自然なフォローアップです。コースの著者であるエリック・ヴァン・バッゲンハウト(SEC599の主執筆者)とジャン・フランソワ・メース(SEC565の主執筆者)は、ともにGIAC認定セキュリティ・エキスパートであると同時に、レッドチームとブルーチームの活動を通じてサイバー攻撃がどのように機能するかを深く理解している経験豊富な実務家でもあります。SEC699では、これらのスキルを組み合わせて、データ侵害の防止と検出のための敵対者のエミュレーション方法を受講生に教えます。

ビジネス上の要点

  • 現実的な敵のエミュレーション計画を構築し、組織の保護を強化する
  • アプリケーション・ホワイトリストのバイパス、クロスフォレスト攻撃(デリゲーションの悪用)、ステルス永続化戦略など、高度な攻撃の実現
  • 高度な敵のテクニックを検出するためのSIGMAルールの構築

受講対象者

  • ペネトレーションテスター
  • エシカルハッカー
  • アタッカーの方法論、ツール、手法をよりよく理解したい防御担当者
  • レッドチームメンバー
  • ブルーチームメンバー
  • パープルチームメンバー
  • 攻撃の戦術をよりよく理解したいフォレンジックの専門家

本講座受講にあたっての前提

このコースは「レッドチームとブルーチームでの活動で必要とされる高度なテクニックを学びたい」という、強い意志を参加の前提としており、テンポが速い上級者向けのコースです。このコースの受講準備、または受講の補完として、次の各コースのご受講をお勧めいたします。

  • SEC 599
  • SEC 560

プログラミング経験があることを強く推奨します(どのような言語でも構いません)。少なくともプログラミングの基本的な概念は学んでおくことをお勧めします。

ペネトレーションテストの基礎についても十分に理解しておく必要があります。また、LinuxとWindowsを熟知していることが必須です。TCP/IPとネットワークの概念についてもしっかり理解しておく必要があります。

前提条件について質問や懸念がある場合は、コースの執筆者 (evanbuggenhout@nviso.be) にご連絡ください。

受講内容の一例

5日間にわたるSEC 699のコースは、次のように構成されています。

  • 1日目は、攻撃者エミュレーションとパープルチーミングを成功させるために必要となる基盤を構築します。このコースは上級者向けであるため、使用するツールについて詳しく説明するだけではなく、既存のツールをさらにカスタマイズする方法についても学びます。
  • 2~4日目は、検知のための戦略にポイントをおき、様々な手口とそれに対する防御について徹底的なハンズオン演習で学んでゆきます。2日目は初期アクセスにおける手口にフォーカスし、3日目は組織内部でのラテラル・ムーブメントと特権の昇格、4日目は永続化を取り扱います。
  • 最後にセクション5では、様々な脅威アクターに対するエミュレーション計画を構築します。これらのエミュレーション計画は、一般的なC2フレームワークを使用した手動実行と、BAS(Breach Attack Simulation)ツールを使用した自動実行の両方で実行されます。

コース開発者より

「SEC 599に続き、このコースをSANS受講者のみなさんに提供できることを非常に楽しみにしています。SEC 699は、エンタープライズ・ラボ環境を活用した、ハンズオン型の攻撃者エミュレーションのコースであり、受講生からいただいた要望をもとに作成された素晴らしいコースです。みなさま、お待たせいたしました!

SEC 699の受講生は、エンタープライズ環境で適切にパープルチームの活動を行うための高度なレッドチームとブルーチームのテクニックを学びます。1週間を通して、私たちは『ヒントやコツ』を説明することにフォーカスするだけでなく、受講生自身がただしい攻撃者エミュレーションのために独自のツールを構築して利用できるようにします。これには、カスタム版のCaldera、SIGMA、Velociraptorの開発などを含みます。

SEC 699のラボ環境は、Teraformのプレイブックを使用して完全に構築されており、攻撃される可能性のある複数のドメインとフォレストをカバーしています。受講者は自分のAWSアカウントでラボ環境を稼働させることによって、受講後、数か月から数年にわたってさえもご自身での練習を続けることができます。」

- Erik Van Buggenhout

 

  • DAY1
  • DAY2
  • DAY3
  • DAY4
  • DAY5

導入と主要ツール

1日目の講義では、次の通り、2日目以降に向けた基礎固めをします。

  • 自動化ソリューションを活用し、演習で利用するインフラを構築します
  • プロセス、アプローチ、ツールについてカバーしつつ、パープルチームの社内での構築方法を学びます
  • VECTRを使用したパープルチーム活動のトラッキング
  • Windowsシステムがどのようにテレメトリを生成するか(ETW、カーネルコールバックなど)の低レベルのビューを含む、全体的な検出スタックがどのように見えるかを示す。
  • 検知エンジニアリングの原則(ルールベースの検知と異常検知の比較、技術中心の検知とツール中心の検知の比較など)
  • 自由に利用できるツールを使って、どのように敵のエミュレーションスタックを構築できるか

※初日ではありますが、5種類の演習を徹底的に行っていきます。

演習

  • VECTRの概要
  • ElasticスタックとSIGMAスタックの準備
  • 攻撃者エミュレーションスタックの準備
  • Prelude

トピック

  • イントロダクション
    • コースの目的
    • ラボ環境の構築
    • ラボ環境の構成紹介
    • パープルチームの組成

  • キーツール
    • 検知用のスタックの構築
    • ログソースと生の遠隔測定
    • 検知のカバレッジの評価
    • ルールベース検知 vs アノマリーベース検知
    • 攻撃者エミュレーションのためのスタック構築
    • Prelude Operatorを使ったエミュレーションの自動化

初期の侵入戦略のエミュレーションと検知

第 2 章では、まず現在の攻撃戦略と初期実行時の防御に関する最新の概要を説明する。アンチマルウェア・スキャンニング・インターフェース(AMSI)のような、マイクロソフトが提供するビルトイン防御にズームインする。AMSIはどのように機能し、どの程度効果的で、回避することができるのでしょうか。その後、コースセクションは以下のモジュールに移ります:

AppLockerを使用したエンドポイントでの実行制御。Windows 7 で導入された Applocker は、悪意のあるペイロードの実行を防ぐために使用できるアプリケーション制御技術です。その効果にズームインし、いくつかの回避策をテストします。
ASR(Attack Surface Reduction)ルールを使用してエンドポイントでの実行を制御する。Windows 10で導入されたASRルールは、悪意のあるペイロードの実行を防ぐために使用できる追加のセキュリティレイヤーです。今回は、ASRルールの有効性に焦点を当て、いくつかの回避方法をテストします。
子プロセスIDスプーフィング、コマンドライン引数スプーフィング、プロセスインジェクションおよびホロリング、直接システムコールなど、多くのEDR(Endpoint Detection & Response)バイパス戦略を見ていきます。EDR ツールの台頭は、エンドポイントに対する詳細な検出と即時の対応活動を可能にする手段を組織に提供しました。これらのツールは、セキュリティの状況を一変させ、敵対者に創造的な活動を強いるようになった。注意してください、ここからかなり専門的になります...

演習

  • VBA Stomping、Purging、AMSIのバイパス
  • AppLockerの有効化と回避
  • 攻撃面縮小(ASR)のバイパス
  • 親子関係のなりすまし
  • プロセスハウリング
  • ダイレクトシステムコール

トピック

  • 初期における侵入の戦略
    • 従来型の攻撃戦略と防御
  • 攻撃者エミュレーションのテクニックと防御
    • Anti-Malware Scanning Interface (AMSI)
    • Officeマクロの難読化
    • アプリケーションの実行制御
    • ExploitGuardと攻撃面縮小(ASR)のルール
  • エンドポイントセキュリティ製品の回避
    • ありふれた場所に隠れる - 新しいプロセスを作成する
    • 既存のプロセスを悪用する
    • エンドポイント・セキュリティ / テレメトリの改ざん

特権の昇格・ラテラルムーブメントのエミュレーションと検知

3日目の講義では、次の内容について説明します。
  • Active Directoryのリソースおよび設定を列挙し、Active Directory環境全般の攻撃面をマッピングします
  • Local Security Authority Subsystem Service (LSASS) プロセスについて、その目的と、伝統的にどのように攻撃されてきたかを説明します。ここでは、セキュリティ・サポート・プロバイダ (SSP) や認証パッケージ (AP) などのトピックについて詳しく説明します。その後、さまざまなツール(Mimikatz、Dumpert、ProcDump)を使用したLSASSダンプ攻撃の実行と検知について詳しく説明します
  • セキュリティ製品がLSASSに重点を置いていることを考慮して、他の資格情報のダンプ技法についても調査を行います。LSASSに触れることなく、どのようにして攻撃者が認証情報を盗むことができるのでしょうか。主なテクニックには、Internal Monologue (NTLMv 1ダウングレード) 、NTDS.dit stealing、DCSyncなどがあります
  • Windows認証の強制:ネットワークレベルのアクセス (またはネットワークに接続されたデバイスの初期ペイロード) が提供されているとして、他のWindowsシステムからの接続を強制して追加の認証情報を取得するにはどうすればよいか。これには一般的に、LLMNRの使用だけでなく、IPv 6ベースのMitM攻撃を含みます
  • Kerberosおよび従来の攻撃 (Kerberos、ASReproasting、ゴールデンチケット、シルバーチケット、およびスケルトンキー攻撃など) についての振り返り。その後、デリゲーション攻撃やActive Directory Certificate Serviceの悪用を取り上げる前に、デリゲーション攻撃を中心とした高度な攻撃戦略に焦点を当てます。

演習

  • BloodHound攻撃チェーンの分析
  • LSASSからの資格情報盗用
  • NTLMv 1ダウングレードの内的独白
  • Creative NTLMv 2チャレンジレスポンス盗用
  • 制約なし委任の悪用
  • 制約付き委任の悪用
  • Active Directory 証明書サービスの悪用

トピック

  • Active Directoryについての列挙
    • Bloodhoundについての列挙
  • クレデンシャルダンプ
    • LSASSクレデンシャル盗用テクニック
    • LSASSにアクセスしない形での認証情報盗用
    • NTLMv 2チャレンジレスポンスの盗用
  • Kerberos攻撃
    • Kerberosの振り返り
    • 制約なし委任攻撃
    • (リソースベース) 制約付き委任攻撃
  • Active Directory 証明書サービス

永続化のエミュレーションと検知

このセクションでは、Active Directory(AD)環境におけるセキュリティ境界と、敵対者が異なるドメインやフォレスト間をどのように行き来する可能性があるかを検証します。敵対者が使用する典型的な永続化戦略と典型的な検出戦略についても見ていきます。また、以下のモジュールも紹介します。

  • ターゲット環境での永続的な足場を確立するためにコンポーネント・オブジェクト・モデル (COM) を悪用すること。Phantom COM ObjectsやCOM Search Order Hijackingなどの攻撃を含みます
  • Windows Management Instrumentation (WMI) による永続性の確立。WMIイベントフィルタ、イベントコンシューマ、およびイベントフィルタとコンシューマバインディングについて説明します
  • AppCert、AppInit、NetshellなどのDLLを使用した永続性の確立
  • Microsoft Officeの永続化への活用。テンプレートの悪用や悪意をもったアドイン
  • Application Compatibility Toolkit (ACT) を悪用した、Application Shimを通じた永続性の取得
  • ADを使用したステルス型の永続化

演習

  • ドメインとフォレストの間の行き来
  • COMオブジェクトハイジャック
  • WMIでの永続化
  • Netsh Helper DLLの実装
  • Officeによる永続化
  • Application Shimming 
  • ADによるステルス型の永続化

トピック

  • ドメインとフォレストの間のピボッティング
    • ドメインとフォレストの間の信頼関係の破壊
  • 永続性確保のためのテクニック
    • COMオブジェクトハイジャック
    • WMIの持続性
    • AppCert、AppInit、およびNetsh Helper DLL
    • Officeテンプレートとライブラリを使ったトリック
    • アプリケーションによるシミング
    • ADのステルス永続性
  • まとめ

エミュレーション・プラン(CTFレンジへの拡張アクセス)

このセクションでは、5つの特定の脅威アクターに対するエミュレーション計画を構築します: APT-33、EvilCorp、APT-28、APT-34、Turlaです。エミュレーション計画を完成させた後、Caldera、Covenant、Prelude Operatorを使用して実行します。コース終了後、受講者は企業環境に潜入または防御するための壮大なCTFにアクセスできるようになります。受講者は、コースを通じて学んだすべてのツールとテクニックを、クラス終了後7日間まで活用することができます!

演習

  • APT-33エミュレーション計画
  • EvilCorpエミュレーション計画
  • APT-28のエミュレーション計画
  • APT-34のエミュレーション計画
  • Turlaのエミュレーション計画

トピック

  • エミュレーション計画の実行
    • APT-33エミュレーション計画
    • EvilCorpエミュレーション計画
    • APT-28のエミュレーション計画
    • APT-34のエミュレーション計画
    • Turlaのエミュレーション計画

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。

ニュースレター登録
資料ダウンロード
お問い合わせ