FORENSICS 508 | ||||||||||||||||||||||||||||||||||||
Advanced Incident Response, Threat Hunting, and Digital Forensics |
||||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||||
受講に必要なPC環境
演習で使用するノートPCをご持参下さい。受講に必要なPC環境についてご確認ください。
FOR508 PC設定詳細
SANSトレーニングを有意義に受講していただくには、以下の要件を満たすノートPCが必須です。下記要件を確認し、事前に必要な設定を完了しておいてください。セッション中には、下記の設定を実施する時間は設けられていません。必ず事前の確認・設定をお願いいたします。
注意:実習のためのツール類をインストールすることによって、一部のシステムの動作に支障をきたす可能性があります。また、ネットワークへの接続を伴う実習内容があり、故意過失を問わず、自分のノートコンピュータのデータに他の受講生からアクセスされる可能性もあります。いずれの場合もSANSではデータの破損や読み書きに関して責任をとることはできませんので、重要なデータが格納されているノートPCでの実習はお控えください。
ホストOSは、VMware仮想化ソフトウェアを正常にインストールすることができるWindows、Mac OSX、Linuxのいずれかの64bit版を使用してください。Macの場合、Boot Campを使用して直接Windowsを動かすことをお勧めいたします。演習をするにあたり、VMware Fusionではいくつかの問題が見つかっています。
利用するノートPCのホストOSおよび搭載されているCPUが64bitの動作をサポートしていることを確認してください。使用するゲストOSは64bit版のため、サポート外だと演習が一切行えません。VMwareはWindows、Linux用に、ご利用になるノートPCの環境が64bitのゲストOSを動作させることができるかどうか確認するフリーツールを提供しています。また、こちらのページで、CPUとOSが64bitをサポートしているか確認する方法が説明されていますので参考にしてください。Macユーザーの方は、サポートページをご確認ください。
事前にVMware製品をダウンロードしてインストールしてください。VMware Workstation 15.5、VMware Fusion 11.5、VMware Workstation Player 15.5以降のバージョンを選択します。
VMware Workstation、VMware Fusionのライセンスを持っていなくても、30日間はフリートライアル期間として利用することができます。VMwareウェブサイトに登録すれば、期限付きのシリアルナンバーが送られてきます。
ノートパソコンのハードウェア要件
- CPU:Intel i5/i7(第4世代以降) x64 2.0+ GHzプロセッサ以上(64bit必須)
- RAM:16GB以上(16GB以上のRAMが必須最小)
- USB:3.0ポート必須(Type Cの場合は、Type Aへの変換アダプタも必要です)
- HDD/SSD:200GB以上の空き容量
- NW:802.11無線LAN
- OS:下記要件を満たすOS
- Windows 10 Pro以上、Mac OSX 10.12以上
- VMware製品が正常に動くこと
- すべてのパッチを適用し、ドライバ等も最新の状態であること
- その他:USBメモリの読込ができること
- その他:ホストOSのローカルアドミニストレーター権限
- その他:ウィルス対策製品の停止、解除ができること
- その他:ファイアウォールの停止、設定変更ができること
- その他:BIOS設定が変更できること
- その他:ホストOSに7Zip(Windows)、またはKeka(Mac)をインストールできること
- 重要事項:SIFT Workstationをダウンロードしないこと。初日にFOR508用に特別に設定したSIFT Workstationを配布
ノートパソコンのソフトウェア要件(下記を事前にインストールしてください)
- VMware Workstation 15.5、VMware Fusion 11.5、VMware Workstation Player 15.5以降のバージョン
- 7zip または Keta(Mac OS)
持ち込み可能なもの
- FOR500に参加したことがある受講者は、最終日のチャレンジの際、FOR500で使用したSIFT Workstationのコピーを持参いただいても構いません。
- あらゆるツールの持ち込みとインストールは自由です(EnCaseやFTKなど)。コース最終日のチャレンジで、有償無償問わず利用できます。ライセンス認証用のドングルも持ち込みできます。
- ダウンロードしたSIFT Workstationは使用しないでください。
ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)。
コース概要
あなたのネットワークには高度な脅威があります。-ハンティングする時がきました!
本コースは、以下の項目を理解することに主眼が置かれています。
- どのように侵害されたか
- どのシステムが侵入されたか
- どのデータが持ち去られたか。どのデータが改ざんされたか
- どのようにインシデントに対処し修正したらよいか
- どのように脅威情報を開発するか
- 攻撃者の知識を基にどのように他の違反を探索するか
政府機関のエージェントから、あなたの組織の機密情報が標的型攻撃によって侵害されているという連絡を受けましたが、侵害を受けているという事実以外は聞き出すことができませんでした。あなたの組織はどうやら、新しいタイプの攻撃(APT)と呼ばれる危険にさらされているようです。
これは、システムやデータを守るためにあなたが直面する最も洗練された脅威であり、このような攻撃者は組織のネットワーク内に何か月も潜伏している可能性があります。上記は仮の話ではありますが、組織のネットワーク内に脅威が潜んでいる可能性は非常に高いです。組織は、セキュリティ上の予防措置がどれほど万全であっても、セキュリティ対策が完璧で侵入される可能性はないとは言い切ることはできません。多くのセキュリティと監視ツールを回避する方法を良く知っている攻撃者に対抗するには、予防システムだけの対策では十分ではありません。
重要なことは、攻撃者が目的を完了し組織に悪影響を与えた後ではなく、セキュリティシステムを通過する攻撃を常に監視して、進行中の侵入行為を捉えることです。このプロセスは、インシデントレスポンダでは脅威のハンティング(Threat hunting)として知られています。脅威のハンティングでは、既に知られている攻撃者の行動を使用して、新しいデータ侵害を特定するためにネットワークとエンドポイントを徹底的に調査します。
脅威のハンティングとインシデントレスポンスにおける戦術と手順は、ここ数年で急速に進化しました。組織のチームは、侵害されたシステムを適切に特定したり、効果的に封じ込めたりすることができず、最終的にはインシデントから迅速に復旧することができない、といった時代遅れのインシデントレスポンスと脅威のハンティングに関する技術を使う余裕はないでしょう。インシデントレスポンスと脅威のハンティングを行うチームは、現在や将来の侵入を検出するために使用する正確な脅威インテリジェンスを生成するために、マルウェアインジケータやアクティビティのパターンを特定し、観察することが重要です。
インシデントレスポンスと脅威のハンティングを徹底的に取り扱うこのコースでは、APTのような国家敵対者や犯罪組織、ハクティビズムなど、企業ネットワーク内の様々な脅威を捕捉、特定、対抗、復旧させる高度なスキルを提供します。本コースは継続的に更新され、精鋭のレスポンダやハンターが現実世界の犯罪に対して、正確に検知、対抗、対応するための、インシデントレスポンスと脅威のハンティングにおける戦術と技術をハンズオンにより提供しています。
このコースでは、現実世界でAPT攻撃により侵入された企業をベースにした演習を用いて、ネットワークをターゲットとするAPTグループの戦略に基づき、SIFTワークステーション上の多くのツールを使用して、課題と解決策に導きます。
侵入と脅威のハンティングの演習では、最初の標的型攻撃の発生場所と攻撃者が複数のシステムに侵入し、どのように横断し動いているかを特定します。これにより、重要なサイバー脅威情報を抽出して作成し、適切な脅威の範囲を特定して、将来の違反を検出するのに役立てることができます。
標的型攻撃では、組織は最高のインシデントレスポンスチームが必要です。本コースでは、組織への侵入やデータ侵害に対して、検出、範囲を特定し、停止できるように受講者を訓練します。
インシデントレスポンスチームを集結させ、ハンティングする時がきました!
本講座受講にあたっての前提
本コースは、コンピュータフォレンジックに関してある程度の知識・スキルをもった方向けのコースです。SANSでは、FOR500(Windows Forensic Analysis)とセットで受講することを前提に作っています。FOR500を先に受講することをお勧めしますが、順番が逆であってもあなたにとって有益な体験となるでしょう。
フォレンジックスキルのレベルチェックを無償で提供しています。次のURLより行ってください。
http://computer-forensics.sans.org/training/assessment
コースメニューへ▲ ページトップへ▲
受講対象者
- 脅威をより効果的に探索したり、攻撃に対処するために、脅威をより深く学びたい脅威ハンター。
- データ侵害や侵入のインシデントに対応する情報セキュリティ担当者
- インシデントレスポンスチームの一員で、APT組織や先進的なアタッカーからの複雑なインシデントや侵入被害に対応するため、検知および調査し、侵害されたシステムを修正し復旧する一連の方法を知る必要がある方
- デジタルフォレンジックアナリストの経験者で、ファイルシステムのフォレンジック、高度なアタッカーの調査技術、インシデントレスポンス戦術、APT攻撃に特化した高度な侵入調査などの理解を深め、対応能力を身につけたい方
- 政府機関や法執行機関などにおいて捜査等に従事しており、先進的な侵入の調査やインシデントレスポンスをマスターして、従来のホストベースのフォレンジックよりも高度な捜査能力を身につけたい方
- レッドチームメンバー、ペネトレーションテスター、エクスプロイト開発者で、行動がシステムによって検知される原理や事例がどのようなものかを知り、それらを回避する方法を理解したい方。本コースには、エクスプロイトの実施や実施後の操作手順と関連して、リモートシステムのフォレンジックとデータ収集技術も含まれています。
- FOR500とSEC504を既に受講済みで、更なる技術力の向上を望む方
コースメニューへ▲ ページトップへ▲
講義内容の一例
- さまざまな攻撃者を効果的に捜し出し、検出し、封じ込め、インシデントを修正するために必要なツール、テクニック、および手順を習得し習得します。
- 企業環境内の複数のWindowsシステムにまたがりメモリ内に潜む未知、活動中、休止中、およびカスタムマルウェアを検出し、追跡します。
- PowerShellまたはF-Response EnterpriseとSIFT Workstationを使用して、何百もの固有のシステムにまたがって同時にインシデント対応を実行します。
- メモリフォレンジック、レジストリ解析、および残されたネットワーク接続を介して、コマンドアンドコントロール(C2)チャネルに送信されるマルウェアビーコンを特定し、追跡します。
- 手がかりと最初の攻撃メカニズムを特定して侵害がどのように発生したかを特定します。
- PowerShellおよびWMIの悪意ある使用方法などの環境に応じた技術を特定します。
- ネットワーク内で攻撃者の隠れ場を維持するため、ユーティリティウェアと共にタイムスタンプを隠蔽したマルウェアを用いた高度な対フォレンジック技術を突き止めます。
- SIFT Workstationのメモリ解析、インシデント対応、および脅威探索ツールを使用して、隠しプロセス、マルウェア、攻撃者のコマンドライン、ルートキット、ネットワーク接続などを検出します。
- 詳細なタイムライン解析とスーパータイムライン解析によって、解析しているシステム上のユーザーと攻撃者の活動を秒単位で追跡します。
- ボリュームシャドウコピーと復元ポイントの解析により、フォレンジック防止技術を使用してクリアされたデータを回復します。
- エンドポイント間での企業内の横方向の動きとピボットを特定し、攻撃者が検出されずにシステムからシステムへと移行する様子を示します。
- ロックされた環境でも、攻撃者がドメイン管理者権限を含む正当な資格情報を取得する方法を理解します。
- 攻撃者が重要なデータを収集し、それらを外部収集ポイントに移動したときのデータの動きを追跡します。
- 企業ネットワークから機密データを窃取するためにAPT攻撃者によって使用されるアーカイブおよび.rarファイルを収集および解析します。
- 収集したデータを使用して、企業全体にわたって効果的な修復を実行します。
Matt OlneyはAPTと先進的な高度な攻撃者達について、「彼らはあなたより賢く、彼らはあなたよりリソースがあり、そして彼らはあなたの近くにまで迫っている。だから本腰を入れて取り組まなければならないのだ。」と述べています。これは、ジョークではありません。何年も前から、犯罪組織のハッカーや国に雇われたハッカーにより何度も犯罪が成功しています。APTにより何百もの組織が侵害されており、組織化された犯罪集団は、ボットネットを使用してACH(米国の小額自動振り込みシステム)に対する詐欺行為を毎日のように行っているばかりか、同じ様な集団が銀行や商社に侵入し、クレジットカード情報を日々盗んでいます。このような背景から、フォーチュン500に選ばれた企業では、年次株主報告書に、侵害され盗まれたデータを詳細に記載することを始めています。
敵は、より賢く、より大胆になっており、成功率は見事なほど高くなっているのです。
敵を食い止めることはできますが、それにはこの領域に長けた洗練されたインシデントレスポンダとデジタルフォレンジック調査員が必要です。APTを検知し、即座に根絶してしまうことが出来る腕利きのデジタルフォレンジックにおける達人を必要としています。訓練されたインシデントレスポンダでも出来るのは、侵害を放置したまま企業を守るぐらいです。本コースでは、このような先進的な攻撃に対抗できるフォレンジックの達人になるための特別な訓練を行います。敵は優秀ですが、それに勝る能力を手に入れることができるでしょう。本コースは、あなたが最高の人物になれるよう支援します。
- Rob Lee
私たちは、大規模で複雑なネットワークに蓄積された想像しがたいデータ量の世界と対峙しています。攻撃者は、この複雑さを利用して防御を切り崩して侵害してくるようになりました。この現状に対してインシデントレスポンスは曲がり角に差し掛かっているのです。古いモデルは、新たな攻撃に対応するため、防御側をより効果的かつ迅速にアップグレードしなければなりません。最も成功したインシデント対応チームは、日々対峙することでますます進化しています。新たなツールや技術が開発され、より良い可視性を提供し、ネットワークをより防御的にします。すると、成功事例はますます多くなり、組織は迅速に侵入を特定し、その問題を改善できるのです。
私は、皆さんをこれらのような成功に導くためにこのコースを作成しました。実務でもそうであるように、コースは継続的に更新されるので、最新の技術がコースにもたらされます。FOR508はインシデントレスポンスの分野だけでなく、すでにハントチームを率いている人にとって、他の経験者から学ぶことを容易にし、さらなるレベルに引き上げるために必要なスキルを支援します。
- Chad Tilbury-
先進的なインシデントレスポンスと脅威のハンティング
あなたを標的にしている攻撃者に対して利点を得る方法があります。それは、正しい考えや何が効果的であるかを知ることから始まります。
インシデントレスポンダは最新のツールを持って、企業内のスキャン技術やメモリ解析技術などを駆使して、侵害を検知し、敵を追跡して封じ込め、発生したインシデントを修復しなければなりません。そのため、インシデントレスポンスとフォレンジックのアナリストは、検査の範囲を通常の単一システムから1,000もしくはそれ以上に拡大しなければなりません。何千ものシステムを徘徊するAPT攻撃集団や犯罪組織による標的型攻撃を追跡するため、企業内スキャンは今や必須要件になっています。これは、フォレンジック調査の手順でも一般的に言われている「ハードドライブを抜く」ということでは判らない情報を引き出すものですが、敵に検知された事実が伝わり、すぐに機密情報を盗まれ脱出されてしまいます。
このコースではF-Response Enterprise Editionの6ヶ月ライセンスを受け取り、ワークステーションまたはSIFTワークステーションを使用して企業内の数百または数千のシステムに接続することができます。この機能は、レスポンダが企業全体の脆弱性の指標を探すことを可能にする新しいインシデント対応テクノロジのベンチマーク、容易化、およびデモンストレーションに使用されます。
演習
- SIFT Workstation オリエンテーション
- SIFT Workstationによるドライブのマウント(リモート、ローカル)
- サイバースレットインテリジェンス - インジケータの作成と検査
- マルウェアの自動起動と永続性分析
- F-Response Enterpriseによるリモートエンタープライズ環境のメモリイメージ取得
- F-Response Enterpriseによるリモートエンタープライズ環境に対するインシデントレスポンスと分析
トピック
実際のインシデント対応戦略
- 準備:侵入に対する適切な対応をするためにインシデント対応チームが必要とする主要なツール、技法、および手順
- 識別/スコーピング:インシデントを適切にスコーピングと企業内の侵入を受けたすべてのシステムの検出
- 封じ込め/インテリジェンス開発:脅威インテリジェンスを開発するための攻撃者のアクセスの制限、監視、および学習
- 根絶/修復:現在のインシデントを阻止するために必要な重要なステップの決定と実行
- 回復:類似の攻撃が再度発生した際に備えた脅威インテリジェンスの記録
- 「場当たり」的対応の回避:即時根絶を行うには適切なインシデントの範囲指定と封じ込めなしには実現しない
脅威ハンティング
- ハンティングと受動対応
- インテリジェンス主導のインシデント対応
- 継続的なインシデント対応/脅威の脅威ハンティングの構築
- フォレンジック分析と脅威ハンティング
- 脅威ハンティングチームの役割
- ATT&CK-MITREの対抗戦術、技術、共通知識
企業における脅威ハンティング
- 侵害されたシステムの特定
- 活動中、休止中のマルウェアの発見
- デジタル署名されたマルウェア
- マルウェアの特徴
- 一般的な隠蔽のメカニズム
- 正常を理解して悪を見つける一般的なWindowsサービスとプロセスについて
- svchost.exeの悪用
インシデント対応とエンドポイント間のハンティング
- WMICとPowerShell
- Kansaによるインシデント対応とハンティングエンドポイント収集
マルウェア防御の回避と識別
- サイバー脅威インテリジェンスの重要性
- 「キルチェーン」を理解する
- インシデント対応および脅威のハント中の脅威インテリジェンスの作成と使用
- 侵害指標の作成
- インシデント対応チームのライフサイクルの概要
マルウェアの持続性の識別
- サービスハイジャック/交換
- よくあるコンパイル
- バイナリパディング
- 梱包/外装
- 休止状態のマルウェア
- 有効な証明書を持つ署名コード
- フォレンジック対策/タイムスタンプ自動起動の場所
WMIベースの攻撃の調査
- WMIの概要
- キルチェーン全体にわたるWMI攻撃
- WMIリポジトリの監査
- WMIファイルシステムとレジストリの残留
- コマンドライン分析とWMIログ
- WMIプロセスの異常
フォレンジック侵入
攻撃者はいい加減であり、どこにでも足跡を残します。最高のハンターの秘密を学んでください。
サイバーディフェンダーには、ネットワーク内の敵の活動を特定、捜索、追跡するためのさまざまなツール類が用意されています。各攻撃者の行動は対応するアーティファクトとして証跡(フットプリント)として残されており、予測可能な攻撃パターンに対して調査を集中することが各チームメンバーに求められます。一例として、ある時点で、攻撃者はその目的を達成するためにコードを実行する必要があります。このアクティビティは、アプリケーション実行アーティファクトによって識別できます。攻撃者はコードを実行するために1つまたは複数のアカウントも必要となります。したがって、アカウント監査は悪意のある操作を識別する強力な手段となります。攻撃者はネットワーク全体に移動する手段も必要とするため、私たちはミッションのこの部分を達成するための比較的少数の方法によって残された証跡を探します。このセクションでは、一般的な攻撃者のスパイ活動の技術について説明し、エンタープライズ内の悪意のあるアクティビティを識別するために使用できる様々なデータソースとフォレンジックツールについて解説します。
演習
- ShimcacheおよびAmcacheから実行の痕跡を検出する
- メモリと未割り当て領域(unallocated space)からプリフェッチを特定・検出する
- イベントログの抽出・分析から資格情報の乱用を発見する
- イベントログ分析を行い横展開して追跡する
- WMIおよびPowerShellの不正使用を検出する
トピック
正当な資格情報の盗用と利用
- Pass the Hash
- シングルサインオン(SSO)Mimikatzを使用したダンプ
- トークンの盗用
- キャッシュされたクレデンシャル
- LSAシークレット
- Kerberos攻撃
- NTDS.DITの盗難
実行痕跡の高度な証拠
- プロセスの実行によって過剰に処理される攻撃手法、テクニック、および手順(TTP)
- プリフェッチの回復と分析
- アプリケーション互換性キャッシュ(Shimcache)
- Aamcacheレジストリ検査
横移動に対する戦術、テクニック、手順(TTP)
- クレデンシャル技術の侵害
- リモートデスクトップサービスの悪用
- Windows管理者による不正使用の共有
- PsExecの利用
- Windowsリモート管理ツールのテクニック
- PowerShellリモート処理/ WMICハッキング
- 脆弱性の悪用
インシデントレスポンダおよびハンターのイベントログ分析
- プロファイリングアカウントの使用
- 横方向の動きの追跡とハンティング
- 疑わしいサービスの特定
- 不正アプリケーションのインストール検出
- マルウェア実行とプロセス追跡の発見
- コマンドラインとスクリプトのキャプチャ
- PowerShellのトランスクリプトとスクリプトブロックのロギング
- PowerShellスクリプトの難読化
- WMIアクティビティログ
- アンチフォレンジックとイベントログの消去
インシデントレスポンスと脅威のハンティングにおけるメモリフォレンジック
侵入している間にメモリ解析を行うと、不正行為が行われているように感じることがあります。アクティブなマルウェアを見つけることは簡単なことではありません。
高度な攻撃を検知することは多くのインシデントレスポンスチームにとって最大の関心事です。メモリフォレンジックは、わずか数年の間に格段の進歩を遂げ、APT攻撃集団が使用するワーム、ルートキット、高度なマルウェアの検知率も高くなってきています。この分野は、長らくWindows内部に精通したエキスパート達の独壇場でしたが、現在では最新のツールによる優れたインタフェースとドキュメント、そして組み込みのヒューリスティックエンジンが改善され、誰でも実行可能なように活用の場が広がりました。
このセクションでは、最新のフリーツールを紹介し、メモリフォレンジック分野の基礎を固めます。加えて、インシデントレスポンスとフォレンジックの武器となる先進的な技術を身につけ、コアスキルを構築します。
演習
- F-Response Enterpriseを使用したリモートエンドポイントインシデント対応、ハンティング、および分析
- F-Response Enterpriseを使用したリモートエンドポイントメモリ検査
- KAPEによるトリアージイメージの作成
- エンタープライズ環境にある複数システムのメモリから、未知のカスタムマルウェア(活動中/休止中)を検出する
- マルウェアが攻撃者とコマンド&コントロール(C2)チャネルの通信をするために利用する、一般ポートのAPTビーコンを探す
- メモリ上の文字列検索やバッファ履歴から残っているコマンドラインを探す
- ベースラインシステムに対して侵害されたシステムメモリを比較する
- コードインジェクションとルートキットを含む高度なマルウェア隠蔽手法を特定する
- 分析を自動化するための侵害インジケータの採用
- マルウェア感染したシステムのメモリイメージを分析する
- Stuxnet
- TDL3/ TDSS
- Cozyduke RAT
- Rundll32
- Zeus/Zbot
- Conficker
- Sobig
- StormWorm Rootkit
- Black Energy
- WMI and PowerShell
- Cobalt Strike Beacons
- Custom APT command and control malware
トピック
リモートおよびエンタープライズ・インシデント・レスポンス
- エンタープライズでのリモートエンドポイントアクセス
- RemoteEndpointホストベースの解析
- スケーラブルなホストベースの解析(1,000のシステムを調査するアナリスト)およびデータスタッキング
- リモートメモリ解析
トリアージ、エンドポイントディテクションおよびレスポンス(EDR)
- エンドポイントトリアージコレクション
- EDRの機能と課題
- EDRとメモリフォレンジック
メモリ獲得
- Windows 32および64ビットシステムからのシステムメモリの取得
- ハイバネーションとページファイルメモリの抽出と変換
- 仮想マシンのメモリ獲得
- Windows10でのメモリの変更点
- Windows10仮想セキュアモード
レスポンスとハンティングのためのメモリフォレンジック分析プロセス
- 不正なプロセスの特定
- プロセスDLLとハンドルの解析
- ネットワークアーティファクトの確認
- コードインジェクションの証拠探し
- ルートキットの兆候確認
- 疑わしいプロセスとドライバの入手
メモリフォレンジックスの検査
- ライブメモリフォレンジック
- ボラティリティを備えた高度なメモリ解析
- プロセスツリー解析によるWebshellの検出
- メモリ内でのコードインジェクション、マルウェア、およびルートキットのハンティング
- WMIおよびPowerShellプロセス
- 型指定された攻撃者用コマンドラインの抽出
- Windowsサービスの調査
- 比較ベースラインシステムを使用したマルウェアのハンティング
- RAMからキャッシュファイルを検索してダンプ
メモリ解析ツール
- Volatility
- Rekall & Google Rapid Response
- Comae Windows Memory Toolkit
タイムライン解析
タイムライン解析は、デジタルフォレンジック脅威のハンティング及びインシデントなどへの対応方法に変革をもたらします。
タイムライン解析を知れば、今までのデジタルフォレンジックとインシデントレスポンスのやり方が劇的に変わるでしょう。スパイ活動に対するタイムライン解析の先駆者から直接学ぶことで、その高度な解析技術を知ることができます。
一時データは、コンピュータシステムのありとあらゆる所に存在しています。ログファイル、ネットワークデータ、レジストリ、インターネット履歴ファイルなども、そのような一時ファイルの一例です。ファイルシステムにはMACタイム(モディファイ/アクセス/クリエイト)がその全てのデータに記録されており、それらを相関分析することで事件の究明に一歩近づくことができます。2001年にRob Leeがこの分析手法を開拓して以来、タイムライン解析は複雑な事件を解決する強力な調査手法として使用されてきました。新しいタイムライン解析のフレームワークでは、いくつもの時間ベースの解析を同時に処理することができます。これにより解析に費やす時間が1日から数分に短縮することができ、強力な調査手法としての立場を不動のものとしています。
このセクションでは、複雑なインシデントとフォレンジック事例においてタイムラインを作り、それぞれ解析する2つの手法について順に見ていきます。演習では、タイムラインの作成方法だけではなく、受講者が実際に経験した事例などを題材として、より効果的な分析につなげるための方法を紹介します。
演習
- タイムライン解析を通して、APTグループの攻撃の始まりとスピアフィッシングはどのように行われだしたのかを識別する
- APTグループがネットワークに侵入しアクセス権を維持するのに利用した、隠蔽や時刻改ざんが行われているマルウェアやユーティリティをターゲットに解析する
- スーパータイムライン解析を通して、APT攻撃の挙動を秒単位で追跡する
- ファイルシステムのタイムスタンプやその他一時的に残されるアーティファクトといった証跡を見ていくことで、エンタープライズ環境のシステムがどのように侵害され横展開されたのかを観察する
- 効率的に目的のデータを見つけるため、タイムライン上のシステムアーティファクト、ファイルシステム、レジストリをフィルタする方法を学ぶ
トピック
タイムライン解析の概要
- タイムライン解析による利点
- 前提知識
- Pivot Pointの検出
- タイムラインコンテキストのヒント
- タイムライン解析のプロセス
メモリ解析タイムラインの作成
- メモリのタイムライン
ファイルシステムタイムラインの作成と分析
- ファイルシステム別MACBの意味
- Windowsタイムルール(ファイルコピーとファイル移動)
- Sleuthkitとflsを使用したファイルシステムタイムラインの作成
- mactimeツールを使用したボディファイルの分析とフィルタリング
スーパータイムラインの作成と分析
- スーパータイムラインアーティファクトルール
- プログラムの実行、ファイルの知識、ファイルの開き方、ファイルの削除
- log2timeline / Plasoによるタイムラインの作成
- log2timeline入力モジュール
- log2timeline出力モジュール
- psortを使用したスーパータイムラインのフィルタリング
- ターゲットスーパータイムラインの作成
- 自動化されたスーパータイムラインの作成
- スーパータイムライン解析
- ボリュームシャドウコピーのタイムライン
インシデントレスポンスとエンタープライズハンティング|高度な攻撃とフォレンジック検知
先進的な攻撃は優れていますが、私たちはその上に立つ必要があります。
優秀な敵に対して、私達は彼らを上回る能力を身に付けなければなりません。
長年に渡り、多くのインシデントレスポンダは侵害の痕跡に関する指標(IOC)を使用せず、効率的ではない方法でマルウェアを検知しようとしていました。一方で敵であるインテリジェンス達は、システムを侵害するために結束を強めています。この傾向はAPTグループの攻撃では特に顕著です。
本セクションでは、ファーストレスポンダに必要なテクニックである、マルウェアの検知やシステムに隠れているどんな小さな情報でもフォレンジックの証拠として抽出するテクニックについてデモンストレーションを行います。その後、システムに隠れ込もうとする悪意あるマルウェアを見逃している可能性が無いか、デモンストレーションしたテクニックについて議論していきます。
演習
- 活動中/休止中のマルウェアを追跡し、エンタープライズ環境全体から未知のマルウェアを探す
- サイバー脅威インテリジェンス-インジケータの作成と検証
- 標的にされた環境のドメインアドミン権限を、どのようにAPTグループが奪取したのか把握する
トピック
サイバー脅威インテリジェンス
- サイバー脅威インテリジェンスの重要性
- 「キルチェーン」を理解する
- インシデント対応および脅威ハンティング時の脅威インテリジェンスの作成と使用
- 侵害インジケータを作成する
- インシデント対応チームのライフサイクル概要
マルウェアとアンチフォレンジック検出
- NTFSファイルシステム分析
- マスターファイルテーブル(MFT)の重要領域
- NTFSシステムファイル
- NTFSメタデータ属性($ Standard_Information、$ Filename、$ Data)
- $ StdInfoおよび$ Filenameに対するWindowsタイムスタンプの規則
- NTFSタイムスタンプ解析による検出
- 常駐ファイルと非常駐ファイル
- 代替データストリームの非表示データ
- ディレクトリ一覧と$ I30ファイルを使用した、ワイプ/削除されたファイルの検索
- ファイルシステムフライトレコーダ:トランザクションロギングと$ Logfileおよび$ UsnJrnl
- NTFSファイルシステムからデータが削除された時の挙動
アンチフォレンジック検出方法論
- MFTの異常
- タイムライン異常
- 削除されたファイル
- 削除されたレジストリキー
- ファイル消去
- タイムスタンプの調整
アクティブなマルウェアを使用しない侵害ホストの特定
- 迅速なデータトリアージ分析
- サイバー脅威インテリジェンスと侵害状況検索の指標
- 持続性の証拠
- スーパータイムラインのテスト
- パッキング/エントロピー/実行可能異常/密度チェック
- システムログ
- メモリ分析
- マルウェアの識別
APTインシデントレスポンスチャレンジ
APTのような攻撃のシミュレーションを行い、本コースで学んだデジタルフォレンジック、ネットワークフォレンジックなどの知識を総動員して学習成果を確認します。シミュレーション環境では、複数のWindowsで構成される企業環境を模したシステムが侵害されているという状況が付与されます。受講生は、最初にどのようにシステムが侵害されたかを検出し、続いて他のシステムへ侵入した形跡を見つけ、最終的にデータ抽出によって知的財産が盗まれたことを証明するという、実践形式の訓練を通じて、その能力を競います。このシナリオは、実際にAPT組織などによる先進的な攻撃への対応に取り組んできた経験を持つ人物によってまとめられたものです。
本チャレンジでは、チームに分かれてネットワーク内の複数システムを解析します。チャレンジの最中に、実際と同じく幾つかキーとなる質問に対して回答して頂きます。
トピック
- 侵入フォレンジックチャレンジでは各インシデント対応チームは企業ネットワーク内の複数のシステムで発生したインシデントの解析を行います。
- チャレンジ中、各インシデント対応チームは組織内での実際の侵害と同様に、以下にリストされているさまざまなカテゴリの重要な質問に答え、重大な問題に対処するよう求められます。
識別とスコープ
- APTグループはいつ、どのようにしてネットワークを侵害したか?
- 侵入された全システムのIPアドレスと侵入特有の痕跡を一覧化します。
- 攻撃者はいつ、どのようにして最初の水平方向の動きを各システムに対して行ったか?
封じ込めと脅威インテリジェンスの収集:
- 攻撃者はいつ、どのようにしてドメイン管理者の資格情報を入手したか?
- 一旦侵入し後、攻撃者は各システムで何を探したか?
- エグゼクティブアカウントに紐付く電子メールから受けた損害の評価を行う。
- 盗まれたものの特定。抽出された.rarファイルまたはその他のアーカイブを復元し、暗号化パスワードを見つけ、内容を抽出して抽出データを検証する。
- 攻撃に使用されたすべてのマルウェアを収集して一覧化。
- 企業のホストベース、ネットワークベースの両方をスコープとし、ATPグループによる「ビーコン」マルウェアの攻撃検知指標を開発してセキュリティインテリジェンスに提示。このマルウェアの使用に関してどのような具体的な指標があるか?
修復と回復
- ドメイン内のすべてのユーザーのパスワードを変更する必要があるか?それとも侵入によって影響を受けたホストだけでよいのか?
- インシデント中に発見された攻撃者のテクニックとツールに基づくインシデントの修正と回復に向けた推奨手順は何か?
- システムを再構築する必要があるか?
- どのIPアドレスをブロックする必要があるか?
- これらの攻撃者が戻ってきた場合の対処方法を教えてください。
- 私たちのネットワークでこれらの侵入者をもう一度検出するために、どのような提案をしますか?