FORENSICS 508 | ||||||||||||||||||||||||||||||||
Advanced Digital Forensics, Incident Response, and Threat Hunting |
||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||
受講に必要なPC環境
演習で使用するノートPCをご持参下さい。受講に必要なPC環境についてご確認ください。
FOR508 PC設定詳細
SANSトレーニングを有意義に受講していただくには、以下の要件を満たすノートPCが必須です。下記要件を確認し、事前に必要な設定を完了しておいてください。セッション中には、下記の設定を実施する時間は設けられていません。必ず事前の確認・設定をお願いいたします。
注意:実習のためのツール類をインストールすることによって、一部のシステムの動作に支障をきたす可能性があります。また、ネットワークへの接続を伴う実習内容があり、故意過失を問わず、自分のノートコンピュータのデータに他の受講生からアクセスされる可能性もあります。いずれの場合もSANSではデータの破損や読み書きに関して責任をとることはできませんので、重要なデータが格納されているノートPCでの実習はお控えください。
ホストOSは、VMware仮想化ソフトウェアを正常にインストールすることができるWindows、Mac OSX、Linuxのいずれかの64bit版を使用してください。Macの場合、Boot Campを使用して直接Windowsを動かすことをお勧めいたします。演習をするにあたり、VMware Fusionではいくつかの問題が見つかっています。
利用するノートPCのホストOSおよび搭載されているCPUが64bitの動作をサポートしていることを確認してください。使用するゲストOSは64bit版のため、サポート外だと演習が一切行えません。VMwareはWindows、Linux用に、ご利用になるノートPCの環境が64bitのゲストOSを動作させることができるかどうか確認するフリーツールを提供しています。また、こちらのページで、CPUとOSが64bitをサポートしているか確認する方法が説明されていますので参考にしてください。Macユーザーの方は、サポートページをご確認ください。
事前にVMware製品をダウンロードしてインストールしてください。VMware Workstation 14、VMware Fusion 10、VMware Workstation Player 14以降のバージョンを選択します。
VMware Workstation、VMware Fusionのライセンスを持っていなくても、30日間はフリートライアル期間として利用することができます。VMwareウェブサイトに登録すれば、期限付きのシリアルナンバーが送られてきます。
ノートパソコンのハードウェア要件
- CPU:最低64bit Intel i5 x64 2.0+ GHzプロセッサ以上(特に64bit必須)
- RAM:最低8GB以上(より多くを推奨)
- USB:3.0を強く推奨
- HDD/SSD:200GB以上の空き容量
- NW:802.11無線LAN
- OS:下記要件を満たすOS
- Windows 7以上、Mac OSX 10.12以上、2016年以降にリリースされたLinux
- VMware製品が正常に動くこと
- フルパッチ適用済、最新に更新済なこと
- USB3.0デバイスが適切に動くこと
- (Linux)適切なカーネルモジュールもしくはFUSEモジュールを使用し、ExFATにアクセス可能なこと
- その他:USBメモリの読込ができること
- その他:ホストOSのローカルアドミニストレーター権限
- その他:ウィルス対策製品の停止、解除ができること
- その他:ファイアウォールの停止、設定変更ができること
- その他:BIOS設定が変更できること
- 重要事項:SIFT Workstationをダウンロードしないこと。初日にFOR508用に特別に設定したSIFT Workstationを配布
ノートパソコンのソフトウェア要件(下記を事前にインストールしてください)
- VMware Workstation 14、VMware Fusion 10、VMware Workstation Player 14以降のバージョン
- 7zip
- Microsoft Office Excel(2013以降)
60日の試用版:http://products.office.com/try - (Linux/Mac OSX) WindowsゲストOS必須(Windows 7以降)
注意:MacではBoot CampによるWindowsを構成を強く推奨
VMware Fusionでは、一部のラボが適切に動作しなかった問題が発生
持ち込み可能なもの
- FOR500に参加したことがある受講者は、最終日のチャレンジの際、FOR500で使用したSIFT Workstationのコピーを持参いただいても構いません。
- あらゆるツールの持ち込みとインストールは自由です(EnCaseやFTKなど)。コース最終日のチャレンジで、有償無償問わず利用できます。ライセンス認証用のドングルも持ち込みできます。
- ダウンロードしたSIFT Workstationは使用しないでください。
ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)。
コース概要
あなたのネットワークには高度な脅威があります。-ハンティングする時がきました!
本コースは、以下の項目を理解することに主眼が置かれています。
- どのように侵害されたか
- どのシステムが侵入されたか
- どのデータが持ち去られたか。どのデータが改ざんされたか
- どのようにインシデントに対処し修正したらよいか
- どのように脅威情報を開発するか
- 攻撃者の知識を基にどのように他の違反を探索するか
政府機関のエージェントから、あなたの組織の機密情報が標的型攻撃によって侵害されているという連絡を受けましたが、侵害を受けているという事実以外は聞き出すことができませんでした。あなたの組織はどうやら、新しいタイプの攻撃(APT)と呼ばれる危険にさらされているようです。
これは、システムやデータを守るためにあなたが直面する最も洗練された脅威であり、このような攻撃者は組織のネットワーク内に何か月も潜伏している可能性があります。上記は仮の話ではありますが、組織のネットワーク内に脅威が潜んでいる可能性は非常に高いです。組織は、セキュリティ上の予防措置がどれほど万全であっても、セキュリティ対策が完璧で侵入される可能性はないとは言い切ることはできません。多くのセキュリティと監視ツールを回避する方法を良く知っている攻撃者に対抗するには、予防システムだけの対策では十分ではありません。
重要なことは、攻撃者が目的を完了し組織に悪影響を与えた後ではなく、セキュリティシステムを通過する攻撃を常に監視して、進行中の侵入行為を捉えることです。このプロセスは、インシデントレスポンダでは脅威のハンティング(Threat hunting)として知られています。脅威のハンティングでは、既に知られている攻撃者の行動を使用して、新しいデータ侵害を特定するためにネットワークとエンドポイントを徹底的に調査します。
脅威のハンティングとインシデントレスポンスにおける戦術と手順は、ここ数年で急速に進化しました。組織のチームは、侵害されたシステムを適切に特定したり、効果的に封じ込めたりすることができず、最終的にはインシデントから迅速に復旧することができない、といった時代遅れのインシデントレスポンスと脅威のハンティングに関する技術を使う余裕はないでしょう。インシデントレスポンスと脅威のハンティングを行うチームは、現在や将来の侵入を検出するために使用する正確な脅威インテリジェンスを生成するために、マルウェアインジケータやアクティビティのパターンを特定し、観察することが重要です。
インシデントレスポンスと脅威のハンティングを徹底的に取り扱うこのコースでは、APTのような国家敵対者や犯罪組織、ハクティビズムなど、企業ネットワーク内の様々な脅威を捕捉、特定、対抗、復旧させる高度なスキルを提供します。本コースは継続的に更新され、精鋭のレスポンダやハンターが現実世界の犯罪に対して、正確に検知、対抗、対応するための、インシデントレスポンスと脅威のハンティングにおける戦術と技術をハンズオンにより提供しています。
このコースでは、現実世界でAPT攻撃により侵入された企業をベースにした演習を用いて、ネットワークをターゲットとするAPTグループの戦略に基づき、SIFTワークステーション上の多くのツールを使用して、課題と解決策に導きます。
侵入と脅威のハンティングの演習では、最初の標的型攻撃の発生場所と攻撃者が複数のシステムに侵入し、どのように横断し動いているかを特定します。これにより、重要なサイバー脅威情報を抽出して作成し、適切な脅威の範囲を特定して、将来の違反を検出するのに役立てることができます。
標的型攻撃では、組織は最高のインシデントレスポンスチームが必要です。本コースでは、組織への侵入やデータ侵害に対して、検出、範囲を特定し、停止できるように受講者を訓練します。
インシデントレスポンスチームを集結させ、ハンティングする時がきました!
本講座受講にあたっての前提
本コースは、コンピュータフォレンジックに関してある程度の知識・スキルをもった方向けのコースです。SANSでは、FOR500(Windows Forensic Analysis)とセットで受講することを前提に作っています。FOR500を先に受講することをお勧めしますが、順番が逆であってもあなたにとって有益な体験となるでしょう。
フォレンジックスキルのレベルチェックを無償で提供しています。次のURLより行ってください。
http://computer-forensics.sans.org/training/assessment
コースメニューへ▲ ページトップへ▲
受講対象者
- 脅威をより効果的に探索したり、攻撃に対処するために、脅威をより深く学びたい脅威ハンター。
- データ侵害や侵入のインシデントに対応する情報セキュリティ担当者
- インシデントレスポンスチームの一員で、APT組織や先進的なアタッカーからの複雑なインシデントや侵入被害に対応するため、検知および調査し、侵害されたシステムを修正し復旧する一連の方法を知る必要がある方
- デジタルフォレンジックアナリストの経験者で、ファイルシステムのフォレンジック、高度なアタッカーの調査技術、インシデントレスポンス戦術、APT攻撃に特化した高度な侵入調査などの理解を深め、対応能力を身につけたい方
- 政府機関や法執行機関などにおいて捜査等に従事しており、先進的な侵入の調査やインシデントレスポンスをマスターして、従来のホストベースのフォレンジックよりも高度な捜査能力を身につけたい方
- レッドチームメンバー、ペネトレーションテスター、エクスプロイト開発者で、行動がシステムによって検知される原理や事例がどのようなものかを知り、それらを回避する方法を理解したい方。本コースには、エクスプロイトの実施や実施後の操作手順と関連して、リモートシステムのフォレンジックとデータ収集技術も含まれています。
- FOR500とSEC504を既に受講済みで、更なる技術力の向上を望む方
コースメニューへ▲ ページトップへ▲
講義内容の一例
- インシデントレスポンスとデジタルフォレンジックにおけるSIFT Workstationの先進的な使用方法
- APT組織、犯罪組織のハッカー、ハクティビストへの対応
- 脅威の迅速な特定に役立つハンティング技術
- 迅速なインシデントレスポンス分析と違反アセスメント
- インシデントレスポンスと侵入に対するフォレンジック方法論
- 企業やリモートにおけるインシデントレスポンスのシステム解析
- Windowsにおける現場でのインシデントレスポンス
- インシデントレスポンスと脅威ハンティングにおけるメモリ解析
- Windowsエンタープライズの資格情報とその侵入方法に関する解説
- 組織内部での横断的な動作分析と検知
- 迅速かつ詳細なタイムラインの作成と分析
- 脅威とインシデントレスポンスのためのボリュームシャドウコピーの活用
- アンチフォレンジックと隠蔽技術の検知
- システムに潜むマルウェアの発見
- 脅威情報の開発、指標、使用方法
- サイバーキルチェーン戦略
- 侵入事例に関するレスポンスと調査のステップバイステップ方法論
Matt OlneyはAPTと先進的な高度な攻撃者達について、「彼らはあなたより賢く、彼らはあなたよりリソースがあり、そして彼らはあなたの近くにまで迫っている。だから本腰を入れて取り組まなければならないのだ。」と述べています。これは、ジョークではありません。何年も前から、犯罪組織のハッカーや国に雇われたハッカーにより何度も犯罪が成功しています。APTにより何百もの組織が侵害されており、組織化された犯罪集団は、ボットネットを使用してACH(米国の小額自動振り込みシステム)に対する詐欺行為を毎日のように行っているばかりか、同じ様な集団が銀行や商社に侵入し、クレジットカード情報を日々盗んでいます。このような背景から、フォーチュン500に選ばれた企業では、年次株主報告書に、侵害され盗まれたデータを詳細に記載することを始めています。
敵は、より賢く、より大胆になっており、成功率は見事なほど高くなっているのです。
敵を食い止めることはできますが、それにはこの領域に長けた洗練されたインシデントレスポンダとデジタルフォレンジック調査員が必要です。APTを検知し、即座に根絶してしまうことが出来る腕利きのデジタルフォレンジックにおける達人を必要としています。訓練されたインシデントレスポンダでも出来るのは、侵害を放置したまま企業を守るぐらいです。本コースでは、このような先進的な攻撃に対抗できるフォレンジックの達人になるための特別な訓練を行います。敵は優秀ですが、それに勝る能力を手に入れることができるでしょう。本コースは、あなたが最高の人物になれるよう支援します。
- Rob Lee
私たちは、大規模で複雑なネットワークに蓄積された想像しがたいデータ量の世界と対峙しています。攻撃者は、この複雑さを利用して防御を切り崩して侵害してくるようになりました。この現状に対してインシデントレスポンスは曲がり角に差し掛かっているのです。古いモデルは、新たな攻撃に対応するため、防御側をより効果的かつ迅速にアップグレードしなければなりません。最も成功したインシデント対応チームは、日々対峙することでますます進化しています。新たなツールや技術が開発され、より良い可視性を提供し、ネットワークをより防御的にします。すると、成功事例はますます多くなり、組織は迅速に侵入を特定し、その問題を改善できるのです。
私は、皆さんをこれらのような成功に導くためにこのコースを作成しました。実務でもそうであるように、コースは継続的に更新されるので、最新の技術がコースにもたらされます。FOR508はインシデントレスポンスの分野だけでなく、すでにハントチームを率いている人にとって、他の経験者から学ぶことを容易にし、さらなるレベルに引き上げるために必要なスキルを支援します。
- Chad Tilbury-
先進的なインシデントレスポンスと脅威のハンティング
あなたを標的にしている攻撃者に対して利点を得る方法があります。それは、正しい考えや何が効果的であるかを知ることから始まります。
インシデントレスポンダは最新のツールを持って、企業内のスキャン技術やメモリ解析技術などを駆使して、侵害を検知し、敵を追跡して封じ込め、発生したインシデントを修復しなければなりません。そのため、インシデントレスポンスとフォレンジックのアナリストは、検査の範囲を通常の単一システムから1,000もしくはそれ以上に拡大しなければなりません。何千ものシステムを徘徊するAPT攻撃集団や犯罪組織による標的型攻撃を追跡するため、企業内スキャンは今や必須要件になっています。これは、フォレンジック調査の手順でも一般的に言われている「ハードドライブを抜く」ということでは判らない情報を引き出すものですが、敵に検知された事実が伝わり、すぐに機密情報を盗まれ脱出されてしまいます。
このコースではF-Response Enterprise Editionの6ヶ月ライセンスを受け取り、ワークステーションまたはSIFTワークステーションを使用して企業内の数百または数千のシステムに接続することができます。この機能は、レスポンダが企業全体の脆弱性の指標を探すことを可能にする新しいインシデント対応テクノロジのベンチマーク、容易化、およびデモンストレーションに使用されます。
演習
- SIFT Workstation 3オリエンテーション
- SIFT Workstationによるドライブのマウント(リモート、ローカル)
- サイバースレットインテリジェンス - インジケータの作成と検査
- マルウェアの自動起動と永続性分析
- F-Response Enterpriseによるリモートエンタープライズ環境のメモリイメージ取得
- F-Response Enterpriseによるリモートエンタープライズ環境に対するインシデントレスポンスと分析
トピック
Real Incident Response Tactics
- Preparation: Key tools, techniques, and procedures that an incident response team needs to respond properly to intrusions
- Identification/Scoping: Proper scoping of an incident and detecting all compromised systems in the enterprise
- Containment/Intelligence Development: Restricting access, monitoring, and learning about the adversary in order to develop threat intelligence
- Eradication/Remediation: Determining and executing key steps that must be taken to help stop the current incident
- Recovery: Recording of the threat intelligence to be used in the event of a similar adversary returning to the enterprise
- Avoiding "Whack-A-Mole" Incident Response: Going beyond immediate eradication without proper incident scoping/containment
Threat Hunting
- Hunting versus Reactive Response
- Intelligence-Driven Incident Response
- Building a Continuous Incident Response/Threat Hunting Capability
- Forensic Analysis versus Threat Hunting
- Threat Hunt Team Roles
Cyber Threat Intelligence
- Importance of Cyber Threat Intelligence
- Understanding the "Kill Chain"
- Threat Intelligence Creation and Use During Incident Response and Threat Hunting
- Creation of Indicators of Compromise
- Incident Response Team Life-Cycle Overview
Threat Hunting in the Enterprise
- Identification of Compromised Systems
- Finding Active and Dormant Malware
- Digitally Signed Malware
- Malware Characteristics
- Common Hiding Mechanisms
- Finding Evil by Understanding Normal
- Understanding Common Windows Services and Processes
- svchost.exe Abuse
Malware Persistence Identification
- AutoStart Locations
- Service Creation/Replacement
- Service Failure Recovery
- Scheduled Tasks
- DLL Hijacking
- WMI Event Consumers
- More Advanced - Local Group Policy, MS Office Add-In, or BIOS Flashing
Remote and Enterprise Incident Response
- Remote System Access in the Enterprise
- Remote System Host-based Analysis
- Scalable Host-based Analysis (one analyst examining 1,000 systems) and Data Stacking
- Remote Memory Analysis
インシデントレスポンスと脅威のハンティングにおけるメモリフォレンジック
侵入している間にメモリ解析を行うと、不正行為が行われているように感じることがあります。アクティブなマルウェアを見つけることは簡単なことではありません。
高度な攻撃を検知することは多くのインシデントレスポンスチームにとって最大の関心事です。メモリフォレンジックは、わずか数年の間に格段の進歩を遂げ、APT攻撃集団が使用するワーム、ルートキット、高度なマルウェアの検知率も高くなってきています。この分野は、長らくWindows内部に精通したエキスパート達の独壇場でしたが、現在では最新のツールによる優れたインタフェースとドキュメント、そして組み込みのヒューリスティックエンジンが改善され、誰でも実行可能なように活用の場が広がりました。
このセクションでは、最新のフリーツールを紹介し、メモリフォレンジック分野の基礎を固めます。加えて、インシデントレスポンスとフォレンジックの武器となる先進的な技術を身につけ、コアスキルを構築します。
演習
- エンタープライズ環境にある複数システムのメモリから、未知のカスタムマルウェア(活動中/休止中)を検出する
- マルウェアが攻撃者とコマンド&コントロール(C2)チャネルの通信をするために利用する、一般ポートのAPTビーコンを探す
- メモリ上の文字列検索やバッファ履歴から残っているコマンドラインを探す
- ベースラインシステムに対して侵害されたシステムメモリを比較する
- コードインジェクションとルートキットを含む高度なマルウェア隠蔽手法を特定する
- マルウェア感染したシステムのメモリイメージを分析する
- Stuxnet
- TDL3/ TDSS
- Zeus/Zbot
- Conficker
- Sobig
- StormWorm Rootkit
- Black Energy
- PsExec
- Custom APT command and control malware
トピック
Memory Acquisition
- Acquisition of System Memory from both Windows 32/64 Bit Systems
- Hibernation and Pagefile Memory Extraction and Conversion
- Virtual Machine Memory Acquisition
Memory Forensics Analysis Process for Response and Hunting
- Identify Rogue Processes
- Analyze Process DLLs and Handles
- Review Network Artifacts
- Look for Evidence of Code Injection
- Check for Signs of a Rootkit
- Acquire Suspicious Processes and Drivers
Memory Forensics Examinations
- Live Memory Forensics
- Memory Analysis Techniques with Redline
- Advanced Memory Analysis with Volatility
- Code Injection, Malware, and Rootkit Hunting in Memory
- Perform In-memory Windows Registry Examinations
- Extract Typed Adversary Command Lines
- Investigate Windows Services
- Hunting Malware Using Comparison Baseline Systems
- Find and Dump Cached Files from RAM
- Dumping Hashes and Credentials from Memory
Memory Analysis Tools
- Rekall
- Volatility
- Redline
- MoonSols Windows Memory Toolkit
フォレンジック侵入
攻撃者はいい加減であり、どこにでも足跡を残します。最高のハンターの秘密を学んでください。
サイバーディフェンダーには、ネットワーク内の敵の活動を特定、捜索、追跡するためのさまざまなツール類が用意されています。各攻撃者の行動は対応するアーティファクトとして証跡(フットプリント)として残されており、予測可能な攻撃パターンに対して調査を集中することが各チームメンバーに求められます。一例として、ある時点で、攻撃者はその目的を達成するためにコードを実行する必要があります。このアクティビティは、アプリケーション実行アーティファクトによって識別できます。攻撃者はコードを実行するために1つまたは複数のアカウントも必要となります。したがって、アカウント監査は悪意のある操作を識別する強力な手段となります。攻撃者はネットワーク全体に移動する手段も必要とするため、私たちはミッションのこの部分を達成するための比較的少数の方法によって残された証跡を探します。このセクションでは、一般的な攻撃者のスパイ活動の技術について説明し、エンタープライズ内の悪意のあるアクティビティを識別するために使用できる様々なデータソースとフォレンジックツールについて解説します。
演習
- Shimcacheから実行の痕跡を検出する
- Shimcacheメモリ(RAM)検査
- メモリと未割り当て領域(unallocated space)からプリフェッチを特定・検出する
- 最近使ったファイルのキャッシュおよびボリュームシャドーコピーから悪意ある行動を見つける
- イベントログ分析を行い横展開して追跡する
- イベントログの抽出・分析から資格情報の乱用を発見する
トピック
Advanced Evidence of Execution Detection
- Application Compatibility Cache
- Prefetch and Shimcache Extraction via Memory
- RecentFileCache
- Amcache
Window Shadow Volume Copy Analysis
- Volume Shadow Copy Analysis Options
- Raw and Live Shadow Copy Examination Using the SIFT Workstation
- Integrating Shadow Copy Analysis into Investigations
- Targeted Shadow Copy Analysis
Lateral Movement Adversary Tactics, Techniques, and Procedures (TTPs)
- Stealing and Utilization of Legitimate Credentials
- Compromising Credentials Techniques
- Remote Desktop Services Misuse
- Windows Admin Shares Abuse
- PsExec Utilization
- Windows Remote Management Tool Techniques
- PowerShell Remoting/WMIC Hacking
- Vulnerability Exploitation
Event Log Analysis for Incident Responders and Hunters
- Profiling Account Usage
- Tracking and Hunting Lateral Movement
- Identifying Suspicious Services
- Detecting Rogue Application Installation
- Finding Malware Execution and Process Tracking
- Capturing Command Lines and Scripts
- Anti-Forensics and Event Log Clearing
タイムライン解析
タイムライン解析は、デジタルフォレンジック脅威のハンティング及びインシデントなどへの対応方法に変革をもたらします。
タイムライン解析を知れば、今までのデジタルフォレンジックとインシデントレスポンスのやり方が劇的に変わるでしょう。スパイ活動に対するタイムライン解析の先駆者から直接学ぶことで、その高度な解析技術を知ることができます。
一時データは、コンピュータシステムのありとあらゆる所に存在しています。ログファイル、ネットワークデータ、レジストリ、インターネット履歴ファイルなども、そのような一時ファイルの一例です。ファイルシステムにはMACタイム(モディファイ/アクセス/クリエイト)がその全てのデータに記録されており、それらを相関分析することで事件の究明に一歩近づくことができます。2001年にRob Leeがこの分析手法を開拓して以来、タイムライン解析は複雑な事件を解決する強力な調査手法として使用されてきました。新しいタイムライン解析のフレームワークでは、いくつもの時間ベースの解析を同時に処理することができます。これにより解析に費やす時間が1日から数分に短縮することができ、強力な調査手法としての立場を不動のものとしています。
このセクションでは、複雑なインシデントとフォレンジック事例においてタイムラインを作り、それぞれ解析する2つの手法について順に見ていきます。演習では、タイムラインの作成方法だけではなく、受講者が実際に経験した事例などを題材として、より効果的な分析につなげるための方法を紹介します。
演習
- タイムライン解析を通して、APTグループの攻撃の始まりとスピアフィッシングはどのように行われだしたのかを識別する
- APTグループがネットワークに侵入しアクセス権を維持するのに利用した、隠蔽や時刻改ざんが行われているマルウェアやユーティリティをターゲットに解析する
- スーパータイムライン解析を通して、APT攻撃の挙動を秒単位で追跡する
- ファイルシステムのタイムスタンプやその他一時的に残されるアーティファクトといった証跡を見ていくことで、エンタープライズ環境のシステムがどのように侵害され横展開されたのかを観察する
- 効率的に目的のデータを見つけるため、タイムライン上のシステムアーティファクト、ファイルシステム、レジストリをフィルタする方法を学ぶ
トピック
Timeline Analysis Overview
- Timeline Benefits
- Prerequisite Knowledge
- Finding the Pivot Point
- Timeline Context Clues
- Timeline Analysis Process
Memory Analysis Timeline Creation
- Memory Timelining
Filesystem Timeline Creation and Analysis
- MACB Meaning by Filesystem
- Windows Time Rules (File Copy vs. File Move)
- Filesystem Timeline Creation Using Sleuthkit and fls
- Bodyfile Analysis and Filtering Using the mactime Tool
Super Timeline Creation and Analysis
- Super Timeline Artifact Rules
- Program Execution, File Knowledge, File Opening, File Deletion
- Timeline Creation with log2timeline/Plaso
- log2timeline Input Modules
- log2timeline Output Modules
- Filtering the Super Timeline Using l2t_process
- Targeted Super Timeline Creation
- Automated Super Timeline Creation
- Super Timeline Analysis
- Volume Shadow Copy Timelining
インシデントレスポンスとエンタープライズハンティング|高度な攻撃とフォレンジック検知
先進的な攻撃は優れていますが、私たちはその上に立つ必要があります。
優秀な敵に対して、私達は彼らを上回る能力を身に付けなければなりません。
長年に渡り、多くのインシデントレスポンダは侵害の痕跡に関する指標(IOC)を使用せず、効率的ではない方法でマルウェアを検知しようとしていました。一方で敵であるインテリジェンス達は、システムを侵害するために結束を強めています。この傾向はAPTグループの攻撃では特に顕著です。
本セクションでは、ファーストレスポンダに必要なテクニックである、マルウェアの検知やシステムに隠れているどんな小さな情報でもフォレンジックの証拠として抽出するテクニックについてデモンストレーションを行います。その後、システムに隠れ込もうとする悪意あるマルウェアを見逃している可能性が無いか、デモンストレーションしたテクニックについて議論していきます。
演習
- 活動中/休止中のマルウェアを追跡し、エンタープライズ環境全体から未知のマルウェアを探す
- 標的型攻撃でどのシステムに横展開されたのかを特定し、システムからシステムへ検知を回避してどのように横展開したのかを解明する
- 標的にされた環境のドメインアドミン権限を、どのようにAPTグループが奪取したのか把握する
トピック
Evolution of Incident Response Scripting
- WMIC
- PowerShell
- Incident Response Triage Investigations with PowerShell
Malware and Anti-Forensic Detection
- NTFS Filesystem Analysis
- Master File Table (MFT) Critical Areas
- NTFS System Files
- NTFS Metadata Attributes ($Standard_Information, $Filename, $Data)
- Rules of Windows Timestamps for $StdInfo and $Filename
- NTFS Timestamps
- Resident versus Nonresident Files
- Alternate Data Streams
- Directory Listings and the $I30 file
- Transaction Logging and the $Logfile and $UsnJrnl
- What Happens When Data Is Deleted from an NTFS Filesystem?
Anti-Forensic Detection Methodologies
- MFT Anomalies
- Timeline Anomalies
- Deleted File
- Deleted Registry Keys
- File Wiping
- Adjusting Timestamps
Identifying Compromised Hosts without Active Malware
- Rapid Data Triage Analysis
- Cyber Threat Intelligence and Indicators of Compromise Searching
- Evidence of Persistence
- Super-timeline Examination
- Packing/Entropy/Executable Anomaly/Density Checks
- System Logs
- Memory Analysis
- Malware Identification
APTインシデントレスポンスチャレンジ
APTのような攻撃のシミュレーションを行い、本コースで学んだデジタルフォレンジック、ネットワークフォレンジックなどの知識を総動員して学習成果を確認します。シミュレーション環境では、複数のWindowsで構成される企業環境を模したシステムが侵害されているという状況が付与されます。受講生は、最初にどのようにシステムが侵害されたかを検出し、続いて他のシステムへ侵入した形跡を見つけ、最終的にデータ抽出によって知的財産が盗まれたことを証明するという、実践形式の訓練を通じて、その能力を競います。このシナリオは、実際にAPT組織などによる先進的な攻撃への対応に取り組んできた経験を持つ人物によってまとめられたものです。
本チャレンジでは、チームに分かれてネットワーク内の複数システムを解析します。チャレンジの最中に、実際と同じく幾つかキーとなる質問に対して回答して頂きます。
トピック
- The Intrusion Forensic Challenge will ask each incident response team to analyze multiple systems in an enterprise network.
- During the challenge, each incident response team will be asked to answer key questions and address critical issues in the different categories listed below, just as they would during a real breach in their organizations:
IDENTIFICATION AND SCOPING:
- How and when did the APT group breach our network?
- List all compromised systems by IP address and specific evidence of compromise.
- When and how did the attackers first laterally move to each system?
CONTAINMENT AND THREAT INTELLIGENCE GATHERING:
- How and when did the attackers obtain domain administrator credentials?
- Once on other systems, what did the attackers look for on each system?
- Find extracted email from executive accounts and perform damage assessment.
- Determine what was stolen: Recover any .rar files or other archives exfiltrated, find encoding passwords, and extract the contents to verify extracted data.
- Collect and list all malware used in the attack.
- Develop and present security intelligence or an indicator of compromise for the APT-group "beacon" malware for both host- and network-based enterprise scoping. What specific indicators exist for the use of this malware?
REMEDIATION AND RECOVERY
- Do we need to change the passwords for every user in the domain or just the ones affected by the systems compromised?
- Based on the attacker techniques and tools discovered during the incident, what are the recommended steps to remediate and recover from this incident?
- What systems need to be rebuilt?
- What IP addresses need to be blocked?
- What countermeasures should we deploy to slow or stop these attackers if they come back?
- What recommendations would you make to detect these intruders in our network again?