SECURITY 504

Hacker Tools, Techniques, Exploits and Incident Handling

日程 2020年3月2日(月)~7日(土)(6日間)
講義時間 1日目:9:30~19:45  2~6日目:9:30~17:30
会場 渋谷ソラスタ コンファレンス MAP
講師 Zach Mathis(SANSローカルインストラクター)>> 講師プロフィール
定員 40名 日本語講座・一部日本語教材
CPEポイント 37 point
受講料 早割価格:760,000円(税抜) 2020年1月17日まで
通常価格:810,000円(税抜)
申込締切日 2020年2月24日(月)
オプション GIAC試験 95,000円(税抜)
NetWars Continuous 174,000円(税抜)
2020年3月12日(木)~13日(金)開催 DFIR NetWars Tournament 無料
英語教材 40,000円(税抜)
※英語教材は、お申し込みの段階でオプションをご選択ください。コース開始後のお申し込みはお受けできませんのでご注意ください。英語教材は、トレーニング終了後、郵送にてお申込者の方へお送りさせていただきます。
SECURITY 504

受講に必要なPC環境

演習で使用するノートPCをご持参下さい。受講に必要なPC環境についてご確認ください。

SEC504 PC設定詳細

SANSトレーニングを有意義に受講していただくには、以下の環境のノートPCが必要です。お持ちいただいたノートPCは、コースでご用意する演習用のネットワークに直接接続していただきますので、有線LANで接続できるよう、事前に正しく設定してください。
以下のバージョンまたはそれ以上のVMwareを事前インストールする必要があります。
VMware Workstation Pro 15 VMware Workstation Player 15またはVMware Fusion 11を含みます。これらのいずれかを無料で30日間試用することができます。

ノートパソコンのハードウェア要件
  • CPU: Intel i5/i7 x64互換 2.0GHz以上
  • RAM:8GB(最小4GB)
  • USB:3.0タイプA (タイプCのみ装備のPCの場合はアダプタが必要)
  • HDD/SSD:100GB以上の空き容量
  • ネットワーク:802.11無線LAN
  • 有線ネットワーク(Ethernet) アクセス方法が無線のみしかサポートされていないマシンの場合は、外付けの有線接続アダプタも忘れずにご用意ください。
  • OS:Windows 10またはMacOS X 10.12以上
  • 可能な場合にはUSBワイヤレスアダプタをご用意ください。一部のラボ(inSSIDer)で使用する予定ですが、ホストOS(Windows)にinSSIDerをインストールすることが可能な場合には、必要ありません。
Windows

本コースでは、VMwareイメージとして、12GBを超えるLinux仮想マシンファイルを使用します。そのため、HDD空き領域として100GBを超える空き領域があることだけではなく、ファイル単体で3GBといった大容量ファイルの読み書きができるファイルシステムである必要がありますので、NTFSファイルシステムで構成した環境をご用意ください。また、VMwareイメージとして、Windows10仮想マシンファイルも含まれているため、ラボでは、ホストシステムの代わりに使用することもできます。

重要事項:演習によっては、ウィルス対策ソフト(製品)を一時的に無効にしていただく場合がありますので、ウィルス対策ソフトを無効にできる管理者権限が利用できることを必ず確認してください。ウィルス対策ソフトのサービスやプロセスを停止すればよいか、という考えは間違いです。ほとんどのウィルス対策ソフトはたとえサービスやプロセスを停止したとしても、まだ機能は有効なままです。多くの企業でクライアントを管理しているウィルス対策ソフトは、クライアントのAdministratorアカウントと別のパスワードを設定してあります。必ずウィルス対策ソフトの管理者パスワードを確認しておいてください。
システムにエンタープライズグループポリシーを適用しないでください。これらのポリシーは、演習に影響を与える可能性があります。 VPNクライアントは、講義に参加する際に必要なネットワーク構成を妨げる可能性がありますので、インストールされている場合には、アンインストールしてください。

VMware

演習では、VMwareを使用してWindowsとLinuxのOSを2つ同時に使用します。受講前に、VMware Workstationをシステムにインストールしておいてください。VMware Workstationのライセンスを持っていなくても、30日間はフリートライアル期間として利用することができます。VMwareウェブサイトに登録すれば、期限付きのシリアルナンバーが送られてきます。
また、MacbookやMacbook Proを使用する場合には、VMware Fusionをインストールしておいてください。
VirtualBoxは本コースのサポート対象外となり演習の妨げになりますので、インストールしないでください。

このコースでは、アタックツール一式が入ったUSBメモリを受講者に配布し演習を行います。使用後にお持ち帰りいただき、すぐに今後の分析に役立てることができます。また、ツールを事前インストールしたLinuxイメージ も配布しますので、 VMware Workstation上ですぐにご利用いただけます。

Linux

VMware用のLinuxイメージを配布するので、受講者がLinuxシステムをご持参いただく必要はございませんが、仮想マシンを動作させるためVMware Workstationをご用意する必要があります。VirtualPCなどVMware以外の仮想化ソフトウエアは、受講時のサポート対象外となりますのでご注意ください。

Linuxにあまり慣れていない方向けに、Linuxを紹介した短時間の動画を用意しています。

留意事項

このコースのワークショップでは、地球上で最も危険なネットワークのひとつに接続します。ご持参いただいたノートPCが攻撃を受けるかもしれません。したがって、システム上にいかなる機密情報も保存しないでください。演習中、他の受講者にアタックを仕掛けられたとしても、SANSは一切の責任を負いません。要件を満たした機器を事前に正しく設定してご持参いただければ、このコースで習得する内容を最大限に活用することができ、楽しんでいただけることでしょう。

※ノートパソコンの設定については、米国SANSサイトの該当ページにも詳細が掲載されています。
ノートパソコンの設定要件は、OSやVMwareのリリースやバージョンアップの状況に応じて随時更新されます。本ページと米国SANSページの設定要件が異なる場合は、「米国ページ」の方を優先してください。(リンク先ページの”Laptop Required”タブよりご確認ください。)

ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)

コース概要

インターネット上には、強力なハッキングツールとそれらを大々的に使用する悪意者が存在します。組織のコンピュータシステムがインターネットに接続されている、または組織内部に不満を抱いた従業員がいるという場合、システムは攻撃を受ける可能性が高いと言えるでしょう。悪質ハッカーがインターネット経由で攻撃を仕掛けたり、内部関係者がたやすく重要な情報資産にアクセスしたり、アタッカーは悪質・巧妙な手口をさらに増幅させながら、組織のシステムをねらっています。そのため、ディフェンダーとしては、これらのハッキングツールや手法を理解することが必要となります。

このコースは、このような悪意者のねらいとその手口を詳細に理解し、それを踏まえた脆弱性の発見と侵入検知の実技経験を養い、総合的なインシデントハンドリングが行えるようになることを目的としています。受講を通じて得られる知識とスキルによってアタッカーより優位な立場に立てるでしょう。このコースでは、いまだ幅をきかせている”古き良き”タイプの攻撃から今まさに最新の狡猾な攻撃ベクトルに至るまで、あらゆる種類の攻撃手法を押さえます。単なるハッキング攻撃技術の講義にとどまらず、アタッカーによる攻撃手法を詳細に見ていくことで攻撃に対する準備、検知、レスポンスを可能にし、段階的なプロセスを経たコンピュータインシデントレスポンス手法の習得を目指します。そして、従業員の監視や法的措置を取る際の手順、証拠の保全といった、コンピュータアタックのレスポンスに絡む法的な問題についても取り上げます。最後に、受講生は、システムのスキャンやエクスプロイト、防御に焦点を当てた実践的なハンズオンワークショップを体験します。

このコースは、特にインシデントハンドリングに携わる方の受講をお勧めします。また、一般的なセキュリティ業務、システム管理、セキュリティ構築などを担当している方にも、攻撃の阻止、検知、レスポンスを行うためのシステム設計、構築、運用の方法が理解できるという点で有益でしょう。
ただし、このコースで学んだツールや技術を自分の組織のシステムに適用する前に、関係部署に必ず書面で許可を得る必要があります。また、しかるべきテストを経て適用することも重要です。

本講座受講にあたっての前提

  • Windowsコマンドラインの基本的な理解
  • TCP/IPといったネットワークの主要技術に関する基本的な理解
  • ハッキングツール、ハッキング手法を理解したいと願う熱い思い
  • 高度な攻撃者に対抗する防御戦略を理解したいと願う強い情熱

受講対象者

  • インシデントハンドリングチームに属する方
  • インシデントハンドリングチームリーダー
  • システムの防御と攻撃への対応の最前線にいるシステム管理者
  • システムが攻撃を受けた時に最初に対応するセキュリティ担当者
  • 攻撃を防止、検知、および対応するためにシステムを設計、構築および運用したい一般的なセキュリティ関係者およびセキュリティアーキテクト
※SEC504は、GIAC(GCIH)認定試験対象コースです。

講義内容の一例

  • 発生する可能性のある違反に備えるための最善策
  • 多くのコンピュータアタッカーが用いる段階的アプローチ
  • コンピュータ攻撃の各段階における積極的かつ反応的な防御
  • アクティブな攻撃とその兆候を特定する方法
  • 最新の攻撃ベクトルとそれを阻止する方法
  • 攻撃を適切に封じる方法
  • 攻撃を復帰させない方法
  • コンピュータを攻撃から復旧し、ビジネスシステムを復元する方法
  • ハッキングツールと技術を理解して使用する方法
  • 攻撃種類別防御戦略およびツール
  • Windows、Unix、スイッチ、ルータ、およびその他のシステムへの攻撃と防御
  • アプリケーションレベルの脆弱性、攻撃、防御
  • インシデントハンドリングプロセスの開発とチームの戦闘準備
  • インシデントハンドリングにおける法的な問題
コース開発者より

「私は18歳のとき、学校のカード目録サーバーをハッキングしたことが発覚しました。その後私は学校から追い出されるのではなく、なんとそのまま学校職員になり、その後10年間を費やして、セキュリティーの改善に取り組む一方で、ハッカー向けツールの活用、エクスプロイトの作成、新しい手法の開発、そして猛威を振るう攻撃へのより良い対応方法の構築に努めてきました。こうした中で気が付いた点として、私が管理していたシステムの防御能力を評価し、改善するための方法として攻撃者のテクニックを理解することに多くのメリットがあるということでした。

SEC504では、インシデントレスポンス分析者の視点から、現代の攻撃者が使用しているハッカーツール、テクニック、およびエクスプロイトについて掘り下げています。ここでは、偵察から搾取、スキャンからデータ略奪まで、あらゆることを取り上げます。このコースの講義、実践的な演習、没入型のキャプストン・イベントでは、ネットワーク・セキュリティーに関する適切な判断を行うために必要なツールと手法を学ぶことができます。ハッカーの考えを学び、攻撃を識別し、高度な攻撃者からネットワークを保護するための準備が整います。」

Joshua Wright

Day 1

ステップバイステップのインシデントハンドリング、サイバー犯罪調査

インフラの保護は、セキュリティリスクとそれに相反する業務需要のバランスをとる複雑な任務です。新しい脆弱性がほとんど毎日のように発見されており、絶えず侵入される脅威が存在します。オンラインによる侵入に加えて、火災や洪水といった自然災害や犯罪などの脅威もあります。こういった事態に見舞われた場合に備えて、システムやサービスをできるだけ早く安全に復旧させるための適切なインシデント対応手順が必要です。

本日の第1部は、とても有益なIncident Handling Step-by-Stepモデルに沿って進みます。このモデルは、企業、政府機関、教育機関に所属する経験豊富なインシデントハンドラ達のコンセンサスを得て作成されたもので、何百もの組織において効果的であることが実証されています。このセクションで、コンピュータインシデントに備え、対処にあたって踏襲する必要のある6段階のプロセス(準備、識別、コンテインメント、根絶、回復、教訓)による完全なインシデントハンドリングプロセスの導入方法を提供します。

第2部ではアタッカーを特定するのに何が有効であるか、事例を通して検証します。システム管理者がアタッカーを捕捉する確率を高め、彼らを起訴するために価値あるデータを提供します。

トピック

準備
  • インシデント対応キットの構築
  • 中核となるインシデント対応チームの特定
  • サイトとシステムの設置・運用
識別
  • インシデントの兆候
  • 最初のステップ
  • Chain of custody(CoC)
  • 内部の脅威の検出と対処
隔離
  • ドキュメンテーション戦略:ビデオ・オーディオ
  • 隔離と検疫
  • ネットワークケーブル、スイッチ、サイトの抜線
  • トラストモデルの識別と分離
根絶
  • バックアップが侵害されていないかの評価
  • OSの完全再構築
  • 新しいアーキテクチャへの移行
回復
  • 誰が本番環境に戻す決心をするのか
  • システムの監視
  • 攻撃の増加を意識
様々な種類のインシデントに対応するための特別なアクション
  • スパイ
  • 不適切な利用
インシデントの記録と管理
  • 事前に用意したフォーム
  • 法的許容性
教訓
  • 教訓ミーティング
  • 将来におけるプロセスの変化
Day 2

コンピュータ&ネットワークハッカーのエクスプロイト パート1

一見したところ無害に思えるデータの漏えいでも、システムに大きなダメージを与える手がかりをアタッカーに提供している可能性があります。コースの2日目は、予備調査とスキャンについて詳しく学習します。いずれも多くの攻撃において最初のフェーズにあたるものです。

ネットワークは、潜在的なアタッカーに莫大な量の情報を晒しています。アタッカーは情報漏えいを探すばかりでなく、システムを細かくスキャンして防御壁を切り崩そうとしています。脆弱なDMZシステムやファイアウォールやセキュアでないモデムなどの盲点やますます普及しているワイヤレスLANを突いて、ネットワークに押し入る機会を狙っているのです。アタッカーは侵入源や侵入の意図をわかりにくくする手段として、逆スキャンやブラインドスキャン、バウンススキャンを採用する傾向にあります。また、狙いを定めたネットワークの通信ルールを知って悪用する目的で、ファイアウォールも標的とするのです。コンピュータアタックの世界で最も注目すべきもう1つの分野は、侵入検知システムの回避や警報をすり抜ける技術です。

もし、これらの危機的な攻撃フェーズを詳しく理解するために必要な技術を有していないのであれば、システムを守ることは不可能です。このコースを受講することで、こうした攻撃とその対処法の数々について理解することができるでしょう。

このコースで学んだツールや技術を自分の組織のシステムに適用する前に、関係部署に必ず書面で許可を得る必要があります。また、ネットワークおよびコンピュータ運用チームにテストスケジュールを通知する必要もあります。

演習

  • OSINTを使用した攻撃偵察
  • 不正、悪意のある、また誤って設定されたアクセスポイントのWi-Fiネットワークスキャン
  • Nmapを使用したサーバーの列挙と分析
  • 脆弱性スキャンと優先順位付けの発見
  • Windowsネットワークスキャンおよび一覧化の手法

トピック

偵察
  • SpiderFootによるOSINTデータ収集の集約
  • ネットワークから読み取れるもの
  • 多くの情報を出しすぎていないか
  • Whoisルックアップ・ARIN・RIPE・APNICの利用
  • Domain Name System(DNS)からの情報収集
  • 求人情報・Webサイト・政府のデータベースからの情報収集
  • Recon-ng
  • Pushpin
  • 公的に侵害されたアカウントの特定
  • Maltego
  • メタデータ分析のためのFOCA
スキャン
  • 個人および組織WiFiの調査と攻撃
  • 独自仕様のワイヤレスシステムの特定と探索
  • Rubber Duckie攻撃によるWi-Fiプロファイルの盗取
  • War-VOXを用いたウォーダイアリングによるモデム走査と安全でない電話
  • ポートスキャン:従来型・ステルススキャン・ブラインドスキャン
  • アクティブおよびパッシブOSフィンガープリンティング
  • ファイアウォールフィルタリングルールの決定
  • Nessusやその他のツールを用いた脆弱性スキャン
  • ブラックリスト回避のためのクラウドエージェントを使用した分散スキャニング
侵入検知システム(IDS)の回避
  • ネットワークレベルでのIDSの無効化
  • アプリケーションレベルでのIDSの無効化:コンピュータ言語の複雑な構文の悪用
  • Web攻撃におけるIDS回避
  • TCPの難読化によるIDS/IPSの回避
Windows Active Directoryのターゲット一覧化
  • BloodHoud、SharpViewによるWindows Active Directoryドメインの一覧化
  • PowerShell EmpireによるWindows Command and Control
  • LinuxからWindowsターゲットへのOSブリッジング
  • 洗練されたWindowsネットワーク機能によるSMB攻撃に対する防御
Day 3

コンピュータ&ネットワークハッカーのエクスプロイト パート2

アタッカーは新手の方法で次々とネットワークやシステムを攻撃してきます。その上、彼らの技術は日々高まっているのです。3日目のテーマはアクセス権取得です。

アタッカーはシステム乗っ取りのために、ネットワークレベルからアプリケーションレベルに至るまで様々な戦略をとっています。このセクションでは、バッファオーバーフロー、フォーマットストリング攻撃から、おおむねセキュアだとされているプロトコルのセッションハイジャックといった最新の攻撃まで広く深く解説します。さらに、スニッファや目覚しく柔軟性のあるNetcatツールを使用した演習を行います。

システム管理者は、現実にこうした攻撃を阻止できるよう、攻撃および関連する防御機能についてその要点を押さえる必要があります。コースでは、各攻撃ごとにその脆弱性、様々なツールを使用した悪用方法、攻撃の形跡、攻撃に対してシステムやアプリケーションを強化する方法を説明します。倫理使用誓約書に署名した受講者には、コースで検証した攻撃ツールが入ったUSBを差し上げます。

このコースで学んだツールや技術を自分の組織のシステムに適用する前に、関係部署に必ず書面で許可を得る必要があります。また、ネットワークおよびコンピュータ運用チームにテストスケジュールを通知する必要もあります。

演習

  • 資格情報収集のためのDNSおよびWindowsネットワークの操作
  • Netcatによるファイル転送、バックドア作成、リレー中継
  • Metaspoloit、Metaspoloit、ひたすらMetaspoloit
  • ARPとMACの分析によるARPキャッシュポイズニングの検出

トピック

物理層攻撃
  • USBポートの秘密の悪用
  • 資格情報の回復のための簡単なネットワーク偽装
  • コールドブート回復ツールを使用したパスワードライブラリのハイジャック
パケットの収集と解析
  • アクティブスニッフィング:ARPキャッシュポイズニング・DNSインジェクション
  • Bettercap
  • Responder
  • LLMNRポイズニング
  • WPADアタック
  • DNSキャッシュポイズニング:インターネット上のトラフィックのリダイレクト
  • Netcatの使用と悪用:バックドア・悪質なリレー
  • 様々なIPアドレススプーフィング
  • 暗号化回避およびダウングレード攻撃
OSとアプリケーションレベルの攻撃
  • バッファオーバーフローの詳細
  • Metasploit:エクスプロイトフレームワーク
  • アンチウイルスとアプリケーションホワイトリストのバイパス技術
Netcat:攻撃者が悪用する手口
  • ファイルの転送・バックドアの作成・リバースシェル
  • 攻撃の要因としてのNetcatリレー
  • リプレイ攻撃
  •  
エンドポイントセキュリティバイパス
  • 攻撃者はどのようにOffice文書のマクロ攻撃を利用するのか
  • Veil、Magic Unicornによるバイパス検知
  • PowerShellを攻撃ツールとして機能させる
  • Ghostwritingによるアンチウイルス回避
  • ネイティブバイナリによる攻撃ツールの変容
Day 4

コンピュータ&ネットワークハッカーのエクスプロイト パート3

4日目は、アタッカーがシステムを侵害する際に好んで用いるテクニックを取り上げることからスタートします。それはパスワード攻撃です。パスワードの推測とスプレー攻撃、パスワードクラッキング、最新のパスワードマスク回復テクニックなど、パスワードの保存と選択に対して適用される複数の攻撃テクニックを分析します。続いて、テーマはアタッカーに悪用されることが多いもう1つの重要な分野に移ります。それはWebアプリケーションです。自家製Webアプリケーションのほとんどは商用ソフトウェアのセキュリティ検査を受けていないため、アタッカーはこうしたターゲットに対してSQLインジェクション、クロスサイトスクリプティング、セッションクローニングほか、様々なメカニズムを用いて悪用するのです。これらの詳細を見ていきます。

不愉快なDoS(サービス拒否)攻撃の分類についても取り上げ、アタッカーがいかにしてサービスを停止したりリソースを枯渇させたりするのか、そしてアタッカーの非道な行為を阻止するために我々が取るべき行動とは何か、についても見ていきます。

また、侵入者はシステムへのアクセス権を一度獲得すると、そのアクセスを保持し、煩わしいシステム管理者やセキュリティ担当者達に自分の存在をかぎつけられないよう立ち回ります。

アタッカーは、ターゲットを欺くべく、バックドアツールをインストールしたりシステム内のソフトウェアをいじったりして、彼ら流のやり方でアクセスを維持します。

こうした攻撃の数々を防御するためには、アタッカーがシステム侵害につながる些細なきっかけを検知するためにいかにしてシステムを改ざんするのか、理解する必要があります。受講することで、アタッカーによるアクセスの保持と痕跡の隠ぺいから身を守るための知識とツールのスキルを身につけることができるでしょう。

このコースで学んだツールや技術を自分の組織のシステムに適用する前に、関係部署に必ず書面で許可を得る必要があります。また、ネットワークおよびコンピュータ運用チームにテストスケジュールを通知する必要もあります。

演習

  • John the Ripperによるパスワードクラッキング
  • Hashcatによる情報に基づいたパスワードクラッキングマスク攻撃
    Browser Exploitation Frameworkを使用した悪意のあるブラウザ乗っ取り攻撃
  • Webアプリケーションへの攻撃 クロスサイトスクリプティング、SQLインジェクション
  • DoS攻撃の検出

トピック

パスワードクラッキング
  • John the Ripperによるパスワードクラッキング
  • Hashcat マスク攻撃
  • 現代のWindows Pass-the-Hash攻撃
  • パスワード推測およびスプレー攻撃
Webアプリケーションへの攻撃
  • アカウントハーベスティング
  • SQLインジェクション:バックエンドのデータベースの操作
  • セッションクローニング:他のユーザのWebセッションを盗み出す
  • クロスサイトスクリプティング
サービス不能攻撃(DoS攻撃)
  • 分散サービス不能攻撃(DDoS攻撃):Pulsing Zombiesとリフレクション攻撃
  • ローカルDoS攻撃
Day 5

コンピュータ&ネットワークハッカーのエクスプロイト パート4

5日目は多くのハッカー攻撃の第4、5段階を学習します。
それは、アクセスの維持と痕跡の隠ぺいです。 コンピュータアタッカーはバックドアをインストールしてRootKitを適用し、時には自らの非道な行為を隠すためにカーネルそのものまで操作してしまうこともあります。こうしたツールのカテゴリごとにそれぞれ、システム保護のための特別な防御策というものがあります。このコースでは、もっとも一般的に使用されている悪意のあるコードのサンプルを分析し、BIOSレベルや結合したマルウェアの可能性を含めてマルウェアの将来動向について研究します。

アタッカーはその痕跡を消すのに、ファイル、スニッファ、ネットワーク使用履歴、活動プロセスを隠すという方法をとることもあります。加えて、最強のステルススニッフィングバックドアを使用して調査の目を逃れることが次第に多くなっています。最終的にアタッカーはシステムログを改ざんし、侵害されたシステムが全く問題なく見えるように仕向けるのです。受講することで、コンピュータやネットワークへのこうした活動を検知し、それに対抗するのに必要なツールやテクニックについてのスキルを習得することができるでしょう。

このコースで学んだツールや技術を自分の組織のシステムに適用する前に、関係部署に必ず書面で許可を得る必要があります。また、ネットワークおよびコンピュータ運用チームにテストスケジュールを通知する必要もあります。

演習

  • ルートキット検出
  • Netstat、lsofによるバックドア検出
  • 攻撃を隠すためのWindowsイベントログの操作
  • 攻撃を識別するためのメモリダンプの分析
  • Covert_TCPを使用したチャネルの変換

トピック

アクセスの維持
  • バックドア:Poison Ivy・VNC・Ghost RAT、その他のバックドア
  • トロイの木馬とバックドア:面倒なコンビネーション
  • ルートキット:バイナリ実行ファイルへの細工
  • カーネルレベルのルートキット:OS中心部を攻撃する(Rooty・Avatar・Alureon)
その他本講義でカバーする事項
  • ファイルとディレクトリの偽装と隠蔽
  • WindowsとUNIXでのログファイル編集
  • アカウントエントリの編集:UTMP・WTMP・シェル履歴等
  • HTTP・ICMP・TCPおよび他のプロトコルを介した隠しチャネル
  • スニッフィングとバックドア
  • ステガノグラフィ:画像・音楽・バイナリなどへのデータ隠蔽
  • 攻撃に対するメモリ解析
まとめ
  • 攻撃者が様々なツールを実際に利用するシナリオ例
  • 現実世界の攻撃に基づいたシナリオ分析
  • 実際の組織への攻撃から学ぶ
  • 最新の攻撃情報とトレンドを入手するために
Day 6

ハッカーツールワークショップ

セキュリティ産業はハッカーを止めるために何年もかけて高度化し、効果的な対策を打ち出しながら成長してきましたが、残念ながらハッカーツールもまた、進歩と複雑化の一途をたどっています。敵を食い止めるのに最も効果的な方法のひとつは、アタッカーが使用していると想定されるツールや戦術でテストを行うことです。

最終日は、このコースで学習してきたことを実際に試してみていただきます。地球上で最も危険なネットワークのひとつに接続します。このネットワークはインターネット環境をシミュレートしたもので、稼動しているマシンに対する実際の攻撃にトライし、こうした攻撃に対する防御方法を学ぶことができる環境です。すでに学んだ内容を補完し、受講生に明快な理解を促すため、アタックツールを使用して対策を講じる時間を設けます。インストラクターが、悪用事例としてまさに発生している事態と防御策の実行についてガイダンスを行います。受講生が様々な悪用事例に取り組み、マスターして行くに従って環境はますます厳しいものとなるので、受講生は演習を成功させるためさらなるスキルの習得に迫られることになります。

さらに、Capture The Flagゲームが待っています。この魅力的なゲームでは、システムに侵入し、不明瞭なフローを検知し、パズルを解くようなテクニックを使用することで、習得してきたスキルを試すことになります。一着でゴールした方にはごほうびがありますよ。

お持ちいただいたノートPCは攻撃を受けることになります。重要な情報等は絶対にシステムに格納しないでください。演習中、他の受講者にアタックを仕掛けられたとしても、SANSは一切の責任を負いません。要件を満たした機器を事前に正しく設定してご持参いただければ、このコースで習得する内容を最大限に活用することができ、楽しんでいただけることでしょう。

トピック

ハンズオン
  • Nmapポートスキャナ
  • Nessus脆弱性スキャナ
  • ネットワークマッピング
  • Netcat:ファイル転送・バックドア・リレー
  • Microsoft Windowsネットワーク一覧化と攻撃
  • Metasploit
  • 組み込みOSコマンドを悪用したエクスプロイト
  • 権限昇格
  • 高度な侵入テクニック
コースメニューへ▲   ページトップへ▲
本サイトに記載されている、各会社名、各製品名は、各社の商標または登録商標です。