あなたを標的にしている攻撃者に対して利点を得る方法があります。それは、正しい考えや何が効果的であるかを知ることから始まります。

インシデントレスポンダは最新のツールを持って、企業内のスキャン技術やメモリ解析技術などを駆使して、侵害を検知し、敵を追跡して封じ込め、発生したインシデントを修復しなければなりません。そのため、インシデントレスポンスとフォレンジックのアナリストは、検査の範囲を通常の単一システムから1,000もしくはそれ以上に拡大しなければなりません。何千ものシステムを徘徊するAPT攻撃集団や犯罪組織による標的型攻撃を追跡するため、企業内スキャンは今や必須要件になっています。これは、フォレンジック調査の手順でも一般的に言われている「ハードドライブを抜く」ということでは判らない情報を引き出すものですが、敵に検知された事実が伝わり、すぐに機密情報を盗まれ脱出されてしまいます。

このコースではF-Response Enterprise Editionの6ヶ月ライセンスを受け取り、ワークステーションまたはSIFTワークステーションを使用して企業内の数百または数千のシステムに接続することができます。この機能は、レスポンダが企業全体の脆弱性の指標を探すことを可能にする新しいインシデント対応テクノロジのベンチマーク、容易化、およびデモンストレーションに使用されます。

演習

• SIFT Workstation オリエンテーション
• リモートエンドポイントデータコレクションへのアクセス
• 防御回避手法 - マルウェアの防御回避とその検知
• コアWindowsプロセスの理解
• 永続性 – マルウェアの永続性の検知と分析
• 悪意のあるWMIイベントコンシューマの発見と分析

トピック

実際のインシデント対応戦略

• 準備：侵入に対する適切な対応をするためにインシデント対応チームが必要とする主要なツール、技法、および手順
• 識別/スコーピング：インシデントを適切にスコーピングと企業内の侵入を受けたすべてのシステムの検出
• 封じ込め/インテリジェンス開発：脅威インテリジェンスを開発するための攻撃者のアクセスの制限、監視、および学習
• 根絶/修復：現在のインシデントを阻止するために必要な重要なステップの決定と実行
• 回復：類似の攻撃が再度発生した際に備えた脅威インテリジェンスの記録
• 「場当たり」的対応の回避：即時根絶を行うには適切なインシデントの範囲指定と封じ込めなしには実現しない

脅威ハンティング

• ハンティングと受動対応
• インテリジェンス主導のインシデント対応
• 継続的なインシデント対応/脅威の脅威ハンティングの構築
• フォレンジック分析と脅威ハンティング
• 脅威ハンティングチームの役割
• ATT&CK-MITREの対抗戦術、技術、共通知識

企業における脅威ハンティング

• 侵害されたシステムの特定
• 活動中、休止中のマルウェアの発見
• デジタル署名されたマルウェア
• マルウェアの特徴
• 一般的な隠蔽のメカニズム
• 正常を理解して悪を見つける
• 一般的なWindowsサービスとプロセスについて
• svchost.exeの悪用

インシデント対応とエンドポイント間のハンティング

• WMICとPowerShell
• Kansaによるインシデント対応とハンティングエンドポイント収集

マルウェア防御の回避と識別

• サービスハイジャック/交換
• よくあるコンパイル
• バイナリパディング
• 梱包/外装
• 休止状態のマルウェア
• 有効な証明書を持つ署名コード
• フォレンジック対策/タイムスタンプ自動起動の場所

マルウェアの持続性の識別

• AutoStartロケーション、RunKeys
• サービスの作成/リプレース
• サービス障害の復旧
• スケジュールされたタスク
• DLLハイジャック
• WMIイベントコンシューマ
• ローカルグループポリシー、MS Officeアドイン、BIOSフラッシュなどより高度な手法

WMIベースの攻撃の調査

• WMIの概要
• キルチェーン全体にわたるWMI攻撃
• WMIリポジトリの監査
• WMIファイルシステムとレジストリの残留
• コマンドライン分析とWMIログ
• WMIプロセスの異常

攻撃者はいい加減であり、どこにでも足跡を残します。最高のハンターの秘密を学んでください。

サイバーディフェンダーには、ネットワーク内の敵の活動を特定、捜索、追跡するためのさまざまなツール類が用意されています。各攻撃者の行動は対応するアーティファクトとして証跡（フットプリント）として残されており、予測可能な攻撃パターンに対して調査を集中することが各チームメンバーに求められます。一例として、ある時点で、攻撃者はその目的を達成するためにコードを実行する必要があります。このアクティビティは、アプリケーション実行アーティファクトによって識別できます。攻撃者はコードを実行するために1つまたは複数のアカウントも必要となります。したがって、アカウント監査は悪意のある操作を識別する強力な手段となります。攻撃者はネットワーク全体に移動する手段も必要とするため、私たちはミッションのこの部分を達成するための比較的少数の方法によって残された証跡を探します。このセクションでは、一般的な攻撃者のスパイ活動の技術について説明し、エンタープライズ内の悪意のあるアクティビティを識別するために使用できる様々なデータソースとフォレンジックツールについて解説します。

演習

• ShimcacheおよびAmcacheから実行の痕跡を検出する
• メモリと未割り当て領域（unallocated space）からプリフェッチを特定・検出する
• イベントログの抽出・分析から資格情報の乱用を発見する
• イベントログ分析を行い横展開して追跡する
• WMIおよびPowerShellの不正使用を検出する

トピック

正当な資格情報の盗用と利用

• Pass the Hash
• シングルサインオン(SSO)Mimikatzを使用したダンプ
• トークンの盗用
• キャッシュされたクレデンシャル
• LSAシークレット
• Kerberos攻撃
• NTDS.DITの盗難

実行痕跡の高度な証拠

• プロセスの実行によって過剰に処理される攻撃手法、テクニック、および手順(TTP)
• プリフェッチの回復と分析
• アプリケーション互換性キャッシュ（Shimcache）
• Aamcacheレジストリ検査

横移動に対する戦術、テクニック、手順（TTP）

• クレデンシャル技術の侵害
• リモートデスクトップサービスの悪用
• Windows管理者による不正使用の共有
• PsExecの利用
• Windowsリモート管理ツールのテクニック
• PowerShellリモート処理/ WMICハッキング
• 脆弱性の悪用

インシデントレスポンダおよびハンターのイベントログ分析

• プロファイリングアカウントの使用
• 横方向の動きの追跡とハンティング
• 疑わしいサービスの特定
• 不正アプリケーションのインストール検出
• マルウェア実行とプロセス追跡の発見
• コマンドラインとスクリプトのキャプチャ
• PowerShellのトランスクリプトとスクリプトブロックのロギング
• PowerShellスクリプトの難読化
• WMIアクティビティログ
• アンチフォレンジックとイベントログの消去

侵入している間にメモリ解析を行うと、不正行為が行われているように感じることがあります。アクティブなマルウェアを見つけることは簡単なことではありません。

高度な攻撃を検知することは多くのインシデントレスポンスチームにとって最大の関心事です。メモリフォレンジックは、わずか数年の間に格段の進歩を遂げ、APT攻撃集団が使用するワーム、ルートキット、高度なマルウェアの検知率も高くなってきています。この分野は、長らくWindows内部に精通したエキスパート達の独壇場でしたが、現在では最新のツールによる優れたインタフェースとドキュメント、そして組み込みのヒューリスティックエンジンが改善され、誰でも実行可能なように活用の場が広がりました。

このセクションでは、最新のフリーツールを紹介し、メモリフォレンジック分野の基礎を固めます。加えて、インシデントレスポンスとフォレンジックの武器となる先進的な技術を身につけ、コアスキルを構築します。

演習

• F-Response Enterpriseを使用したリモートエンドポイントインシデント対応、ハンティング、および分析
• F-Response Enterpriseを使用したリモートエンドポイントメモリ検査
• KAPEによるトリアージイメージの作成
• エンタープライズ環境にある複数システムのメモリから、未知のカスタムマルウェア（活動中／休止中）を検出する
• 通常か変異かを識別するためWindowsプロセスツリーを調査する
• マルウェアが攻撃者とコマンド＆コントロール（C2）チャネルの通信をするために利用する、一般ポートのAPTビーコンを探す
• メモリ上の文字列検索やバッファ履歴から残っているコマンドラインを探す
• ベースラインシステムに対して侵害されたシステムメモリを比較する
• コードインジェクションとルートキットを含む高度なマルウェア隠蔽手法を特定する
• 分析を自動化するための侵害インジケータの採用
• マルウェア感染したシステムのメモリイメージを分析する
  • Stuxnet
  • TDL3/ TDSS
  • Cozyduke RAT
  • Rundll32
  • Zeus/Zbot
  • Conficker
  • Sobig
  • StormWorm Rootkit
  • Black Energy
  • WMI and PowerShell
  • Cobalt Strike Beacons
  • Custom APT command and control malware

トピック

リモートおよびエンタープライズ・インシデント・レスポンス

• エンタープライズでのリモートエンドポイントアクセス
• RemoteEndpointホストベースの解析
• スケーラブルなホストベースの解析(1,000のシステムを調査するアナリスト)およびデータスタッキング
• リモートメモリ解析

トリアージ、エンドポイントディテクションおよびレスポンス（EDR）

• エンドポイントトリアージコレクション
• EDRの機能と課題
• EDRとメモリフォレンジック

メモリ獲得

• Windows 32および64ビットシステムからのシステムメモリの取得
• ハイバネーションとページファイルメモリの抽出と変換
• 仮想マシンのメモリ獲得
• Windows10でのメモリの変更点
• Windows10仮想セキュアモード

レスポンスとハンティングのためのメモリフォレンジック分析プロセス

• 不正なプロセスの特定
• プロセスDLLとハンドルの解析
• ネットワークアーティファクトの確認
• コードインジェクションの証拠探し
• ルートキットの兆候確認
• 疑わしいプロセスとドライバの入手

メモリフォレンジックスの検査

• ライブメモリフォレンジック
• ボラティリティを備えた高度なメモリ解析
• プロセスツリー解析によるWebshellの検出
• メモリ内でのコードインジェクション、マルウェア、およびルートキットのハンティング
• WMIおよびPowerShellプロセス
• 型指定された攻撃者用コマンドラインの抽出
• Windowsサービスの調査
• 比較ベースラインシステムを使用したマルウェアのハンティング
• RAMからキャッシュファイルを検索してダンプ

メモリ解析ツール

• Volatility
• Rekall & Google Rapid Response
• Comae Windows Memory Toolkit

タイムライン解析は、デジタルフォレンジック脅威のハンティング及びインシデントなどへの対応方法に変革をもたらします。

タイムライン解析を知れば、今までのデジタルフォレンジックとインシデントレスポンスのやり方が劇的に変わるでしょう。スパイ活動に対するタイムライン解析の先駆者から直接学ぶことで、その高度な解析技術を知ることができます。

一時データは、コンピュータシステムのありとあらゆる所に存在しています。ログファイル、ネットワークデータ、レジストリ、インターネット履歴ファイルなども、そのような一時ファイルの一例です。ファイルシステムにはMACタイム（モディファイ／アクセス／クリエイト）がその全てのデータに記録されており、それらを相関分析することで事件の究明に一歩近づくことができます。2001年にRob Leeがこの分析手法を開拓して以来、タイムライン解析は複雑な事件を解決する強力な調査手法として使用されてきました。新しいタイムライン解析のフレームワークでは、いくつもの時間ベースの解析を同時に処理することができます。これにより解析に費やす時間が1日から数分に短縮することができ、強力な調査手法としての立場を不動のものとしています。

このセクションでは、複雑なインシデントとフォレンジック事例においてタイムラインを作り、それぞれ解析する2つの手法について順に見ていきます。演習では、タイムラインの作成方法だけではなく、受講者が実際に経験した事例などを題材として、より効果的な分析につなげるための方法を紹介します。

演習

• タイムライン解析を通して、APTグループの攻撃の始まりとスピアフィッシングはどのように行われだしたのかを識別する
• APTグループがネットワークに侵入しアクセス権を維持するのに利用した、隠蔽や時刻改ざんが行われているマルウェアやユーティリティをターゲットに解析する
• スーパータイムライン解析を通して、APT攻撃の挙動を秒単位で追跡する
• ファイルシステムのタイムスタンプやその他一時的に残されるアーティファクトといった証跡を見ていくことで、エンタープライズ環境のシステムがどのように侵害され横展開されたのかを観察する
• 効率的に目的のデータを見つけるため、タイムライン上のシステムアーティファクト、ファイルシステム、レジストリをフィルタする方法を学ぶ

トピック

タイムライン解析の概要

• タイムライン解析による利点
• 前提知識
• Pivot Pointの検出
• タイムラインコンテキストのヒント
• タイムライン解析のプロセス

メモリ解析タイムラインの作成

• メモリのタイムライン

ファイルシステムタイムラインの作成と分析

• ファイルシステム別MACBの意味
• Windowsタイムルール（ファイルコピーとファイル移動）
• Sleuthkitとflsを使用したファイルシステムタイムラインの作成
• mactimeツールを使用したボディファイルの分析とフィルタリング

スーパータイムラインの作成と分析

• スーパータイムラインアーティファクトルール
• プログラムの実行、ファイルの知識、ファイルの開き方、ファイルの削除
• log2timeline / Plasoによるタイムラインの作成
• log2timeline入力モジュール
• log2timeline出力モジュール
• psortを使用したスーパータイムラインのフィルタリング
• ターゲットスーパータイムラインの作成
• 自動化されたスーパータイムラインの作成
• スーパータイムライン解析
• ボリュームシャドウコピーのタイムライン

先進的な攻撃は優れていますが、私たちはその上に立つ必要があります。

優秀な敵に対して、私達は彼らを上回る能力を身に付けなければなりません。

長年に渡り、多くのインシデントレスポンダは侵害の痕跡に関する指標（IOC）を使用せず、効率的ではない方法でマルウェアを検知しようとしていました。一方で敵であるインテリジェンス達は、システムを侵害するために結束を強めています。この傾向はAPTグループの攻撃では特に顕著です。

本セクションでは、ファーストレスポンダに必要なテクニックである、マルウェアの検知やシステムに隠れているどんな小さな情報でもフォレンジックの証拠として抽出するテクニックについてデモンストレーションを行います。その後、システムに隠れ込もうとする悪意あるマルウェアを見逃している可能性が無いか、デモンストレーションしたテクニックについて議論していきます。

演習

• 活動中／休止中のマルウェアを追跡し、エンタープライズ環境全体から未知のマルウェアを探す
• サイバー脅威インテリジェンス-インジケータの作成と検証
• 標的にされた環境のドメインアドミン権限を、どのようにAPTグループが奪取したのか把握する

トピック

サイバー脅威インテリジェンス

• サイバー脅威インテリジェンスの重要性
• 「キルチェーン」を理解する
• インシデント対応および脅威ハンティング時の脅威インテリジェンスの作成と使用
• 侵害インジケータを作成する
• インシデント対応チームのライフサイクル概要

マルウェアとアンチフォレンジック検出

• NTFSファイルシステム分析
• マスターファイルテーブル（MFT）の重要領域
• NTFSシステムファイル
• NTFSメタデータ属性（$ Standard_Information、$ Filename、$ Data）
• $ StdInfoおよび$ Filenameに対するWindowsタイムスタンプの規則
• NTFSタイムスタンプ解析による検出
• 常駐ファイルと非常駐ファイル
• 代替データストリームの非表示データ
• ディレクトリ一覧と$ I30ファイルを使用した、ワイプ/削除されたファイルの検索
• ファイルシステムフライトレコーダ:トランザクションロギングと$ Logfileおよび$ UsnJrnl
• NTFSファイルシステムからデータが削除された時の挙動

アンチフォレンジック検出方法論

• MFTの異常
• タイムライン異常
• 削除されたファイル
• 削除されたレジストリキー
• ファイル消去
• タイムスタンプの調整

アクティブなマルウェアを使用しない侵害ホストの特定

• 迅速なデータトリアージ分析
• サイバー脅威インテリジェンスと侵害状況検索の指標
• 持続性の証拠
• スーパータイムラインのテスト
• パッキング/エントロピー/実行可能異常/密度チェック
• システムログ
• メモリ分析
• マルウェアの識別

APTのような攻撃のシミュレーションを行い、本コースで学んだデジタルフォレンジック、ネットワークフォレンジックなどの知識を総動員して学習成果を確認します。シミュレーション環境では、複数のWindowsで構成される企業環境を模したシステムが侵害されているという状況が付与されます。受講生は、最初にどのようにシステムが侵害されたかを検出し、続いて他のシステムへ侵入した形跡を見つけ、最終的にデータ抽出によって知的財産が盗まれたことを証明するという、実践形式の訓練を通じて、その能力を競います。このシナリオは、実際にAPT組織などによる先進的な攻撃への対応に取り組んできた経験を持つ人物によってまとめられたものです。

本チャレンジでは、チームに分かれてネットワーク内の複数システムを解析します。チャレンジの最中に、実際と同じく幾つかキーとなる質問に対して回答して頂きます。

トピック

• 侵入フォレンジックチャレンジでは各インシデント対応チームは企業ネットワーク内の複数のシステムで発生したインシデントの解析を行います。
• チャレンジ中、各インシデント対応チームは組織内での実際の侵害と同様に、以下にリストされているさまざまなカテゴリの重要な質問に答え、重大な問題に対処するよう求められます。
 

識別とスコープ

1. APTグループはいつ、どのようにしてネットワークを侵害したか？
2. 侵入された全システムのIPアドレスと侵入特有の痕跡を一覧化します。
3. 攻撃者はいつ、どのようにして最初の水平方向の動きを各システムに対して行ったか？

封じ込めと脅威インテリジェンスの収集：

1. 攻撃者はいつ、どのようにしてドメイン管理者の資格情報を入手したか？
2. 一旦侵入し後、攻撃者は各システムで何を探したか？
3. エグゼクティブアカウントに紐付く電子メールから受けた損害の評価を行う。
4. 盗まれたものの特定。抽出された.rarファイルまたはその他のアーカイブを復元し、暗号化パスワードを見つけ、内容を抽出して抽出データを検証する。
5. 攻撃に使用されたすべてのマルウェアを収集して一覧化。
6. 企業のホストベース、ネットワークベースの両方をスコープとし、ATPグループによる「ビーコン」マルウェアの攻撃検知指標を開発してセキュリティインテリジェンスに提示。このマルウェアの使用に関してどのような具体的な指標があるか？

修復と回復

1. ドメイン内のすべてのユーザーのパスワードを変更する必要があるか？それとも侵入によって影響を受けたホストだけでよいのか？
2. インシデント中に発見された攻撃者のテクニックとツールに基づくインシデントの修正と回復に向けた推奨手順は何か？
   1. システムを再構築する必要があるか？
   2. どのIPアドレスをブロックする必要があるか？
   3. これらの攻撃者が戻ってきた場合の対処方法を教えてください。
   4. 私たちのネットワークでこれらの侵入者をもう一度検出するために、どのような提案をしますか？

追加注意事項

• FOR500に参加したことがある方は、FOR500 - Windows SIFT Workstation Virtual Machineのコピーを持参してください。最後のチャレンジやFOR508の多くのエクササイズに使用することができます。
• 役に立ちそうな他のフォレンジックツール（Splunk、EDR、EnCase、FTKなど）を持参/インストールしても構いません。コースの最後に行われる最終課題では、商用機能を含め、あらゆるフォレンジックツールを利用することができます。ドングルやライセンスソフトウェアなどをお持ちであれば、自由にご利用いただけます。
• インターネットからダウンロードしたSIFTワークステーションは使用しないでください。講座1日目にFOR508教材専用に設定されたバージョンをお渡しします。