SECURITY 504 | ||||||||||||||||||||||||||||||||
Hacker Tools, Techniques, Exploits, and Incident Handling |
||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||
受講に必要なPC環境
演習で使用するノートPCをご持参下さい。受講に必要なPC環境についてご確認ください。
SEC504 PC設定詳細
SANSトレーニングを有意義に受講していただくには、以下の環境のノートPCが必要です。お持ちいただいたノートPCは、コースでご用意する演習用のネットワークに直接接続していただきますので、有線LANで接続できるよう、事前に正しく設定してください。
演習ではWindowsとLinuxの両方を使用します。VMware Workstationが必要です。
また、Macをご使用の方は、VMware Fusionを用意してください。
ノートパソコンのハードウェア要件
- CPU: x64互換 2.0GHz以上
- RAM:8GB以上、できれば16GBを強くお勧めします
- USB:2.0以上
- HDD/SSD:70GB以上の空き容量
- ネットワーク:802.11無線LAN
- 有線ネットワーク(Ethernet) アクセス方法が無線のみしかサポートされていないマシンの場合は、外付けの有線接続アダプタも忘れずにご用意ください。
- OS:Windows 10、Windows 8(サービスパックは問わない)
- 可能な場合にはUSBワイヤレスアダプタをご用意ください。一部のラボ(inSSIDer)で使用する予定ですが、ホストOS(Windows)にinSSIDerをインストールすることが可能な場合には、必要ありません。
本コースでは、VMwareイメージとして、12GBを超えるLinux仮想マシンファイルを使用します。そのため、HDD空き領域として70GBを超える空き領域があることだけではなく、ファイル単体で3GBといった大容量ファイルの読み書きができるファイルシステムである必要がありますので、NTFSファイルシステムで構成した環境をご用意ください。また、VMwareイメージとして、Windows10仮想マシンファイルも含まれているため、ラボでは、ホストシステムの代わりに使用することもできます。
重要事項:演習によっては、ウィルス対策ソフト(製品)を一時的に無効にしていただく場合がありますので、ウィルス対策ソフトを無効にできる管理者権限が利用できることを必ず確認してください。ウィルス対策ソフトのサービスやプロセスを停止すればよいか、という考えは間違いです。ほとんどのウィルス対策ソフトはたとえサービスやプロセスを停止したとしても、まだ機能は有効なままです。多くの企業でクライアントを管理しているウィルス対策ソフトは、クライアントのAdministratorアカウントと別のパスワードを設定してあります。必ずウィルス対策ソフトの管理者パスワードを確認しておいてください。
システムにエンタープライズグループポリシーを適用しないでください。これらのポリシーは、演習に影響を与える可能性があります。VPNクライアントは、講義に参加する際に必要なネットワーク構成を妨げる可能性がありますので、インストールされている場合には、アンインストールしてください。
演習では、VMwareを使用してWindowsとLinuxのOSを2つ同時に使用します。受講前に、VMware Workstationをシステムにインストールしておいてください。VMware Workstationのライセンスを持っていなくても、30日間はフリートライアル期間として利用することができます。VMwareウェブサイトに登録すれば、期限付きのシリアルナンバーが送られてきます。
また、MacbookやMacbook Proを使用する場合には、VMware Fusionをインストールしておいてください。
VirtualBoxは本コースのサポート対象外となり演習の妨げになりますので、インストールしないでください。
このコースでは、アタックツール一式が入ったUSBメモリを受講者に配布し演習を行います。使用後にお持ち帰りいただき、すぐに今後の分析に役立てることができます。また、ツールを事前インストールしたLinuxイメージ も配布しますので、 VMware Workstation上ですぐにご利用いただけます。
VMware用のLinuxイメージを配布するので、受講者がLinuxシステムをご持参いただく必要はございませんが、仮想マシンを動作させるためVMware Workstationをご用意する必要があります。VirtualPCなどVMware以外の仮想化ソフトウエアは、受講時のサポート対象外となりますのでご注意ください。
Linuxにあまり慣れていない方向けに、Linuxを紹介した短時間の動画を用意しています。
留意事項
このコースのワークショップでは、地球上で最も危険なネットワークのひとつに接続します。ご持参いただいたノートPCが攻撃を受けるかもしれません。したがって、システム上にいかなる機密情報も保存しないでください。演習中、他の受講者にアタックを仕掛けられたとしても、SANSは一切の責任を負いません。要件を満たした機器を事前に正しく設定してご持参いただければ、このコースで習得する内容を最大限に活用することができ、楽しんでいただけることでしょう。
※ノートパソコンの設定については、米国SANSサイトの該当ページにも詳細が掲載されています。
ノートパソコンの設定要件は、OSやVMwareのリリースやバージョンアップの状況に応じて随時更新されます。本ページと米国SANSページの設定要件が異なる場合は、「米国ページ」の方を優先してください。(リンク先ページの”Laptop Required”タブよりご確認ください。)
ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)
コース概要
インターネット上には、強力なハッキングツールとそれらを大々的に使用する悪意者が存在します。組織のコンピュータシステムがインターネットに接続されている、または組織内部に不満を抱いた従業員がいるという場合、システムは攻撃を受ける可能性が高いと言えるでしょう。悪質ハッカーがインターネット経由で攻撃を仕掛けたり、内部関係者がたやすく重要な情報資産にアクセスしたり、アタッカーは悪質・巧妙な手口をさらに増幅させながら、組織のシステムをねらっています。そのため、ディフェンダーとしては、これらのハッキングツールや手法を理解することが必要となります。
このコースは、このような悪意者のねらいとその手口を詳細に理解し、それを踏まえた脆弱性の発見と侵入検知の実技経験を養い、総合的なインシデントハンドリングが行えるようになることを目的としています。受講を通じて得られる知識とスキルによってアタッカーより優位な立場に立てるでしょう。このコースでは、いまだ幅をきかせている”古き良き”タイプの攻撃から今まさに最新の狡猾な攻撃ベクトルに至るまで、あらゆる種類の攻撃手法を押さえます。単なるハッキング攻撃技術の講義にとどまらず、アタッカーによる攻撃手法を詳細に見ていくことで攻撃に対する準備、検知、レスポンスを可能にし、段階的なプロセスを経たコンピュータインシデントレスポンス手法の習得を目指します。そして、従業員の監視や法的措置を取る際の手順、証拠の保全といった、コンピュータアタックのレスポンスに絡む法的な問題についても取り上げます。最後に、受講生は、システムのスキャンやエクスプロイト、防御に焦点を当てた実践的なハンズオンワークショップを体験します。
このコースは、特にインシデントハンドリングに携わる方の受講をお勧めします。また、一般的なセキュリティ業務、システム管理、セキュリティ構築などを担当している方にも、攻撃の阻止、検知、レスポンスを行うためのシステム設計、構築、運用の方法が理解できるという点で有益でしょう。
ただし、このコースで学んだツールや技術を自分の組織のシステムに適用する前に、関係部署に必ず書面で許可を得る必要があります。また、しかるべきテストを経て適用することも重要です。
本講座受講にあたっての前提
- Windowsコマンドラインの基本的な理解
- TCP/IPといったネットワークの主要技術に関する基本的な理解
- ハッキングツール、ハッキング手法を理解したいと願う熱い思い
- 高度な攻撃者に対抗する防御戦略を理解したいと願う強い情熱
受講対象者
- インシデントハンドリングチームに属する方
- システム管理者およびセキュリティ担当者
- エシカルハッカーやペネトレーションテスターで、自らのテスト計画についての基本概念を理解したい方
講義内容の一例
- 発生する可能性のある違反に備えるための最善策
- 多くのコンピュータアタッカーが用いる段階的アプローチ
- コンピュータ攻撃の各段階における積極的かつ反応的な防御
- アクティブな攻撃とその兆候を特定する方法
- 最新の攻撃ベクトルとそれを阻止する方法
- 攻撃を適切に封じる方法
- 攻撃を復帰させない方法
- コンピュータを攻撃から復旧し、ビジネスシステムを復元する方法
- ハッキングツールと技術を理解して使用する方法
- 攻撃種類別防御戦略およびツール
- Windows、Unix、スイッチ、ルータ、およびその他のシステムへの攻撃と防御
- アプリケーションレベルの脆弱性、攻撃、防御
- インシデントハンドリングプロセスの開発とチームの戦闘準備
- インシデントハンドリングにおける法的な問題
私の人生における最大の喜びの一つは、人々が本当に効果的な防御策を実現できるように、セキュリティの複雑な状況の理解をお手伝いすることです。単に製品マーケティングを誇大宣伝することに対して、組織のセキュリティに影響を与えるものを十分に理解することは難しいかもしれません。この講義は、攻撃と防御の間で繋がり、今日の最も厄介な攻撃を阻止するための重要な情報で満たされています。
Ed Skoudisと私は、我々が実施している多くの侵入テストの基礎と、定期的に関与している事件をもとにこの講義を継続的に見直しています。我々は教材を関連性のある興味深いものとし、情報セキュリティの専門家の仕事に直接利用できるように努めています。最終的には受講生は多くの情報の中から、脅威と脆弱性で重要な観点を理解し始めることになるでしょう。
- John Strand
ステップバイステップのインシデントハンドリング、サイバー犯罪調査
インフラの保護は、セキュリティリスクとそれに相反する業務需要のバランスをとる複雑な任務です。新しい脆弱性がほとんど毎日のように発見されており、絶えず侵入される脅威が存在します。オンラインによる侵入に加えて、火災や洪水といった自然災害や犯罪などの脅威もあります。こういった事態に見舞われた場合に備えて、システムやサービスをできるだけ早く安全に復旧させるための適切なインシデント対応手順が必要です。
本日の第1部は、とても有益なIncident Handling Step-by-Stepモデルに沿って進みます。このモデルは、企業、政府機関、教育機関に所属する経験豊富なインシデントハンドラ達のコンセンサスを得て作成されたもので、何百もの組織において効果的であることが実証されています。このセクションで、コンピュータインシデントに備え、対処にあたって踏襲する必要のある6段階のプロセス(準備、識別、コンテインメント、根絶、回復、教訓)による完全なインシデントハンドリングプロセスの導入方法を提供します。
第2部ではアタッカーを特定するのに何が有効であるか、事例を通して検証します。システム管理者がアタッカーを捕捉する確率を高め、彼らを起訴するために価値あるデータを提供します。
トピック
Preparation
- Building an incident response kit
- Identifying your core incident response team
- Instrumentation of the site and system
Identification
- Signs of an incident
- First steps
- Chain of custody
- Detecting and reacting to Insider Threats
Containment
- Documentation strategies: video and audio
- Containment and quarantine
- Pull the network cable, switch and site
- Identifying and isolating the trust model
Eradication
- Evaluating whether a backup is compromised
- Total rebuild of the Operating System
- Moving to a new architecture
Recovery
- Who makes the determination to return to production?
- Monitoring to system
- Expect an increase in attacks
Special Actions for Responding to Different Types of Incidents
- Espionage
- Inappropriate use
Incident Record-keeping
- Pre-built forms
- Legal acceptability
Incident Follow-up
- Lessons learned meeting
- Changes in process for the future
コンピュータ&ネットワークハッカーのエクスプロイト パート1
一見したところ無害に思えるデータの漏えいでも、システムに大きなダメージを与える手がかりをアタッカーに提供している可能性があります。コースの2日目は、予備調査とスキャンについて詳しく学習します。いずれも多くの攻撃において最初のフェーズにあたるものです。
ネットワークは、潜在的なアタッカーに莫大な量の情報を晒しています。アタッカーは情報漏えいを探すばかりでなく、システムを細かくスキャンして防御壁を切り崩そうとしています。脆弱なDMZシステムやファイアウォールやセキュアでないモデムなどの盲点やますます普及しているワイヤレスLANを突いて、ネットワークに押し入る機会を狙っているのです。アタッカーは侵入源や侵入の意図をわかりにくくする手段として、逆スキャンやブラインドスキャン、バウンススキャンを採用する傾向にあります。また、狙いを定めたネットワークの通信ルールを知って悪用する目的で、ファイアウォールも標的とするのです。コンピュータアタックの世界で最も注目すべきもう1つの分野は、侵入検知システムの回避や警報をすり抜ける技術です。
もし、これらの危機的な攻撃フェーズを詳しく理解するために必要な技術を有していないのであれば、システムを守ることは不可能です。このコースを受講することで、こうした攻撃とその対処法の数々について理解することができるでしょう。
このコースで学んだツールや技術を自分の組織のシステムに適用する前に、関係部署に必ず書面で許可を得る必要があります。また、ネットワークおよびコンピュータ運用チームにテストスケジュールを通知する必要もあります。
演習
- InSSIDerによる無線LAN探索
- Nmapによるポートスキャン、OSフィンガープリンティング
- Nessusによる脆弱性スキャン
- SMBセッション経由でデータを参照するWindowsコマンドラインカンフー(訓練)
トピック
Reconnaissance
- What does your network reveal?
- Are you leaking too much information?
- Using Whois lookups, ARIN, RIPE and APNIC
- Domain Name System harvesting
- Data gathering from job postings, websites, and government databases
- Recon-ng
- Pushpin
- Identifying publicly compromised accounts
- Maltego
- FOCA for metadata analysis
Scanning
- Locating and attacking unsecure wireless LANs
- War dialing with War-VOX for renegade modems and unsecure phones
- Port scanning: Traditional, stealth, and blind scanning
- Active and passive Operating System fingerprinting
- Determining firewall filtering rules
- Vulnerability scanning using Nessus and other tools
- CGI scanning with Nikto
- Powershell Empire
- Bloodhound
- Rubber Duckie attacks to steal wireless profiles
- User Behavioral Analytics
Intrusion Detection System (IDS) Evasion
- Foiling IDS at the network level
- Foiling IDS at the application level: Exploiting the rich syntax of computer languages
- Web Attack IDS evasion tactics
- Bypassing IDS/IPS with TCP obfuscation techniques
コンピュータ&ネットワークハッカーのエクスプロイト パート2
アタッカーは新手の方法で次々とネットワークやシステムを攻撃してきます。その上、彼らの技術は日々高まっているのです。3日目のテーマはアクセス権取得です。
アタッカーはシステム乗っ取りのために、ネットワークレベルからアプリケーションレベルに至るまで様々な戦略をとっています。このセクションでは、バッファオーバーフロー、フォーマットストリング攻撃から、おおむねセキュアだとされているプロトコルのセッションハイジャックといった最新の攻撃まで広く深く解説します。さらに、スニッファや目覚しく柔軟性のあるNetcatツールを使用した演習を行います。
システム管理者は、現実にこうした攻撃を阻止できるよう、攻撃および関連する防御機能についてその要点を押さえる必要があります。コースでは、各攻撃ごとにその脆弱性、様々なツールを使用した悪用方法、攻撃の形跡、攻撃に対してシステムやアプリケーションを強化する方法を説明します。倫理使用誓約書に署名した受講者には、コースで検証した攻撃ツールが入ったUSBを差し上げます。
このコースで学んだツールや技術を自分の組織のシステムに適用する前に、関係部署に必ず書面で許可を得る必要があります。また、ネットワークおよびコンピュータ運用チームにテストスケジュールを通知する必要もあります。
演習
- Tcpdump等のスニファー演習
- ifconfig、ifstatus、promiscdetect等によるスニッファー検知
- Netcatによるファイル転送、バックドア作成、リレー中継
- Metaspoloit、Metaspoloit、ひたすらMetaspoloit
- ARPとMACの分析によるARPキャッシュポイズニングの検出
トピック
Network-Level Attacks
- Session hijacking: From Telnet to SSL and SSH
- Monkey-in-the-middle attacks
- Passive sniffing
Gathering and Parsing Packets
- Active sniffing: ARP cache poisoning and DNS injection
- Bettercap
- Responder
- LLMNR poisoning
- WPAD Attacks
- MITMf
- DNS cache poisoning: Redirecting traffic on the Internet
- Using and abusing Netcat, including backdoors and nasty relays
- IP address spoofing variations
Operating System and Application-level Attacks
- Buffer overflows in-depth
- The Metasploit exploitation framework
- Format string attacks
- AV and application whitelisting bypass techniques
Netcat: The Attacker's Best Friend
- Transferring files, creating backdoors, and shoveling shell
- Netcat relays to obscure the source of an attack
- Replay attacks
コンピュータ&ネットワークハッカーのエクスプロイト パート3
4日目は、アタッカーがシステムを侵害する際に好んで用いるテクニックを取り上げることからスタートします。それはワームです。ここ2年間のワーム開発について分析し、将来我々が対峙することになるであろうスーパーワームの出現に備えましょう。続いて、テーマはアタッカーに悪用されることが多いもう1つの重要な分野に移ります。それはWebアプリケーションです。自家製Webアプリケーションのほとんどは商用ソフトウェアのセキュリティ検査を受けていないため、アタッカーはこうしたターゲットに対してSQLインジェクション、クロスサイトスクリプティング、セッションクローニングほか、様々なメカニズムを用いて悪用するのです。これらの詳細を見ていきます。
不愉快なDoS(サービス拒否)攻撃の分類についても取り上げ、アタッカーがいかにしてサービスを停止したりリソースを枯渇させたりするのか、そしてアタッカーの非道な行為を阻止するために我々が取るべき行動とは何か、についても見ていきます。
また、侵入者はシステムへのアクセス権を一度獲得すると、そのアクセスを保持し、煩わしいシステム管理者やセキュリティ担当者達に自分の存在をかぎつけられないよう立ち回ります。
アタッカーは、ターゲットを欺くべく、バックドアツールをインストールしたりシステム内のソフトウェアをいじったりして、彼ら流のやり方でアクセスを維持します。
こうした攻撃の数々を防御するためには、アタッカーがシステム侵害につながる些細なきっかけを検知するためにいかにしてシステムを改ざんするのか、理解する必要があります。受講することで、アタッカーによるアクセスの保持と痕跡の隠ぺいから身を守るための知識とツールのスキルを身につけることができるでしょう。
このコースで学んだツールや技術を自分の組織のシステムに適用する前に、関係部署に必ず書面で許可を得る必要があります。また、ネットワークおよびコンピュータ運用チームにテストスケジュールを通知する必要もあります。
演習
- パスワードクラッキング
- Webアプリケーションへの攻撃 クロスサイトスクリプティング、SQLインジェクション
- DoS攻撃の検出
トピック
Password Cracking
- Analysis of worm trends
- Password cracking with John the Ripper
- Hashcat
- Rainbow Tables
- Password spraying
Web Application Attacks
- Account harvesting
- SQL Injection: Manipulating back-end databases
- Session Cloning: Grabbing other users' web sessions
- Cross-Site Scripting
Denial-of-Service Attacks
- Distributed Denial of Service: Pulsing zombies and reflected attacks
- Local Denial of Service
コンピュータ&ネットワークハッカーのエクスプロイト パート4
5日目は多くのハッカー攻撃の第4、5段階を学習します。
それは、アクセスの維持と痕跡の隠ぺいです。 コンピュータアタッカーはバックドアをインストールしてRootKitを適用し、時には自らの非道な行為を隠すためにカーネルそのものまで操作してしまうこともあります。こうしたツールのカテゴリごとにそれぞれ、システム保護のための特別な防御策というものがあります。このコースでは、もっとも一般的に使用されている悪意のあるコードのサンプルを分析し、BIOSレベルや結合したマルウェアの可能性を含めてマルウェアの将来動向について研究します。
アタッカーはその痕跡を消すのに、ファイル、スニッファ、ネットワーク使用履歴、活動プロセスを隠すという方法をとることもあります。加えて、最強のステルススニッフィングバックドアを使用して調査の目を逃れることが次第に多くなっています。最終的にアタッカーはシステムログを改ざんし、侵害されたシステムが全く問題なく見えるように仕向けるのです。受講することで、コンピュータやネットワークへのこうした活動を検知し、それに対抗するのに必要なツールやテクニックについてのスキルを習得することができるでしょう。
このコースで学んだツールや技術を自分の組織のシステムに適用する前に、関係部署に必ず書面で許可を得る必要があります。また、ネットワークおよびコンピュータ運用チームにテストスケジュールを通知する必要もあります。
演習
- ルートキット検出
- Netstat、lsofによるバックドア検出
- LADSによる隠蔽ファイル検出
- Covert_TCPによる隠しチャネル
- Base64を利用したHTTPリバースシェル
トピック
Maintaining Access
- Backdoors: Using Poison Ivy, VNC, Ghost RAT, and other popular beasts
- Trojan horse backdoors: A nasty combo
- Rootkits: Substituting binary executables with nasty variations
- Kernel-level Rootkits: Attacking the heart of the Operating System (Rooty, Avatar, and Alureon)
Covering the Tracks
- File and directory camouflage and hiding
- Log file editing on Windows and Unix
- Accounting entry editing: UTMP, WTMP, shell histories, etc.
- Covert channels over HTTP, ICMP, TCP, and other protocols
- Sniffing backdoors and how they can really mess up your investigations unless you are aware of them
- Steganography: Hiding data in images, music, binaries, or any other file type
- Memory analysis of an attack
Putting It All Together
- Specific scenarios showing how attackers use a variety of tools together
- Analyzing scenarios based on real-world attacks
- Learning from the mistakes of other organizations
- Where to go for the latest attack info and trends
ハッカーツールワークショップ
セキュリティ産業はハッカーを止めるために何年もかけて高度化し、効果的な対策を打ち出しながら成長してきましたが、残念ながらハッカーツールもまた、進歩と複雑化の一途をたどっています。敵を食い止めるのに最も効果的な方法のひとつは、アタッカーが使用していると想定されるツールや戦術でテストを行うことです。
最終日は、このコースで学習してきたことを実際に試してみていただきます。地球上で最も危険なネットワークのひとつに接続します。このネットワークはインターネット環境をシミュレートしたもので、稼動しているマシンに対する実際の攻撃にトライし、こうした攻撃に対する防御方法を学ぶことができる環境です。すでに学んだ内容を補完し、受講生に明快な理解を促すため、アタックツールを使用して対策を講じる時間を設けます。インストラクターが、悪用事例としてまさに発生している事態と防御策の実行についてガイダンスを行います。受講生が様々な悪用事例に取り組み、マスターして行くに従って環境はますます厳しいものとなるので、受講生は演習を成功させるためさらなるスキルの習得に迫られることになります。
さらに、Capture The Flagゲームが待っています。この魅力的なゲームでは、システムに侵入し、不明瞭なフローを検知し、パズルを解くようなテクニックを使用することで、習得してきたスキルを試すことになります。一着でゴールした方にはごほうびがありますよ。
お持ちいただいたノートPCは攻撃を受けることになります。重要な情報等は絶対にシステムに格納しないでください。演習中、他の受講者にアタックを仕掛けられたとしても、SANSは一切の責任を負いません。要件を満たした機器を事前に正しく設定してご持参いただければ、このコースで習得する内容を最大限に活用することができ、楽しんでいただけることでしょう。
トピック
Hands-on Analysis
- Nmap port scanner
- Nessus vulnerability scanner
- Network mapping
- Netcat: File transfer, backdoors, and relays
- More Metasploit
- Exploitation using built in OS commands
- Privilege escalation
- Advanced pivoting techniques