FORENSICS 508 | ||||||||||||||||||||||||||||||||
Advanced Digital Forensics and Incident Response |
||||||||||||||||||||||||||||||||
![]() |
||||||||||||||||||||||||||||||||
受講に必要なPC環境
演習で使用するノートPCをご持参下さい。受講に必要なPC環境についてご確認ください。
FOR508 PC設定詳細
SANSトレーニングを有意義に受講していただくには、以下の要件を満たすノートPCが必須です。下記要件を確認し、事前に必要な設定を完了しておいてください。セッション中には、下記の設定を実施する時間は設けられていません。必ず事前の確認・設定をお願いいたします。
注意:実習のためのツール類をインストールすることによって、一部のシステムの動作に支障をきたす可能性があります。また、ネットワークへの接続を伴う実習内容があり、故意過失を問わず、自分のノートコンピュータのデータに他の受講生からアクセスされる可能性もあります。いずれの場合もSANSではデータの破損や読み書きに関して責任をとることはできませんので、重要なデータが格納されているノートPCでの実習はお控えください。
ホストOSは、VMware仮想化ソフトウェアを正常にインストールすることができるWindows、Mac OSX、Linuxのいずれかの64bit版を使用してください。Macの場合、Boot Campを使用して直接Windowsを動かすことをお勧めいたします。演習をするにあたり、VMware Fusionではいくつかの問題が見つかっています。
利用するノートPCのホストOSおよび搭載されているCPUが64bitの動作をサポートしていることを確認してください。使用するゲストOSは64bit版のため、サポート外だと演習が一切行えません。VMwareはWindows、Linux用に、ご利用になるノートPCの環境が64bitのゲストOSを動作させることができるかどうか確認するフリーツールを提供しています。また、こちらのページで、CPUとOSが64bitをサポートしているか確認する方法が説明されていますので参考にしてください。Macユーザーの方は、サポートページをご確認ください。
事前にVMware製品をダウンロードしてインストールしてください。VMware Workstation 11、VMware Fusion 7、VMware Player 7以降のバージョンを選択します。VMware Workstation、VMware Fusionのライセンスを持っていなくても、30日間はフリートライアル期間として利用することができます。VMwareウェブサイトに登録すれば、期限付きのシリアルナンバーが送られてきます。
ノートパソコンのハードウェア要件
- CPU:最低64bit Intel i5 x64 2.0+ GHzプロセッサ以上(特に64bit必須)
- RAM:最低8GB以上(より多くを推奨)
- USB:3.0を強く推奨
- HDD/SSD:200GB以上の空き容量
- NW:802.11無線LAN
- OS:下記要件を満たすOS
- Windows 7以上、Mac OSX 10.12以上、2016年以降にリリースされたLinux
- VMware製品が正常に動くこと
- フルパッチ適用済、最新に更新済なこと
- USB3.0デバイスが適切に動くこと
- (Linux)適切なカーネルモジュールもしくはFUSEモジュールを使用し、ExFATにアクセス可能なこと
- その他:USBメモリの読込ができること
- その他:ホストOSのローカルアドミニストレーター権限
- その他:ウィルス対策製品の停止、解除ができること
- その他:ファイアウォールの停止、設定変更ができること
- その他:BIOS設定が変更できること
- 重要事項:SIFT Workstationをダウンロードしないこと。初日にFOR508用に特別に設定したSIFT Workstationを配布
ノートパソコンのソフトウェア要件(下記を事前にインストールしてください)
- VMware Workstation 12、VMware Fusion 8、VMware Workstation Player 12以降のバージョン
- 7zip
- Microsoft Office Excel(2013以降)
60日の試用版:http://products.office.com/try - (Linux/Mac OSX) WindowsゲストOS必須(Windows 7以降)
注意:MacではBoot CampによるWindowsを構成を強く推奨
VMware Fusionでは、一部のラボが適切に動作しなかった問題が発生
持ち込み可能なもの
- FOR500に参加したことがある受講者は、最終日のチャレンジの際、FOR500で使用したSIFT Workstationのコピーを持参いただいても構いません。
- あらゆるツールの持ち込みとインストールは自由です(EnCaseやFTKなど)。コース最終日のチャレンジで、有償無償問わず利用できます。ライセンス認証用のドングルも持ち込みできます。
- ダウンロードしたSIFT Workstationは使用しないでください。
ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)。
コース概要
政府機関のエージェントから、あなたの組織の機密情報が標的型攻撃によって侵害されているという連絡を受けたが、侵害を受けているという事実以外は聞き出すことができなかった。あなたの組織はどうやら、新しいタイプの攻撃(APT)と呼ばれる危険にさらされているようだ。
こうして、最も洗練された攻撃とあなたとのシステムやデータを守るための闘いは幕を開けた…。
統計によると、データ侵害のうち80%以上は外部からの通知によるものであり、内部のセキュリティチームによるものではありません。そして多くの場合、攻撃者が何ヶ月または何年も前からネットワークへ不正にアクセスした後で発覚すると言われています。今こそ、あなたのチームで持てる能力を結集し、このような不正侵入と闘いましょう。
本コースは、以下の項目を理解することに主眼が置かれています。
- どのように侵害されたか
- どのシステムが侵入されたか
- どのデータが持ち去られたか。どのデータが改ざんされたか
- どのようにインシデントに対処し修正したらよいか
本コースでは、デジタルフォレンジックアナリストやインシデントレスポンスチームが、APTを含む洗練された攻撃を行う集団や金融犯罪シンジケートに対抗して、脅威の識別、封じ込め、修正を行う手順を学習します。さらに、学習成果を高めるため、ネットワーク業界の先進的企業で実際に起きている標的型攻撃を元に開発された、実践的な訓練にチャレンジし課題解決を通して理解を深めていくことで、今までよりも早い段階でAPT攻撃の存在に気付くことができるようになるでしょう。本コースを通じて、誰に何のデータが盗まれたのかを洗い出し、具体的な脅威を封じ込め、攻撃に対抗しマネジメントできる能力をもった職員として成長することができます。
現在の組織では、標的型攻撃の分野に精通したインシデントレスポンダとフォレンジックアナリストを必要としています。本コースでは、このような業務に従事することができる個人およびチームを育成します。
本講座受講にあたっての前提
本コースは、コンピュータフォレンジックに関してある程度の知識・スキルをもった方向けのコースです。SANSでは、FOR408(Windows Forensic Analysis)とセットで受講することを前提に作っています。FOR408を先に受講することをお勧めしますが、順番が逆であってもあなたにとって有益な体験となるでしょう。
フォレンジックスキルのレベルチェックを無償で提供しています。次のURLより行ってください。
http://computer-forensics.sans.org/training/assessment
コースメニューへ▲ ページトップへ▲
受講対象者
- データ侵害や侵入のインシデントに対応する情報セキュリティ担当者
- インシデントレスポンスチームの一員で、APT組織や先進的なアタッカーからの複雑なインシデントや侵入被害に対応するため、検知および調査し、侵害されたシステムを修正し復旧する一連の方法を知る必要がある方
- デジタルフォレンジックアナリストの経験者で、ファイルシステムのフォレンジック、高度なアタッカーの調査技術、インシデントレスポンス戦術、APT攻撃に特化した高度な侵入調査などの理解を深め、対応能力を身につけたい方
- 政府機関や法執行機関などにおいて捜査等に従事しており、先進的な侵入の調査やインシデントレスポンスをマスターして、従来のホストベースのフォレンジックよりも高度な捜査能力を身につけたい方
- レッドチームメンバー、ペネトレーションテスター、エクスプロイト開発者で、行動がシステムによって検知される原理や事例がどのようなものかを知り、それらを回避する方法を理解したい方。本コースには、エクスプロイトの実施や実施後の操作手順と関連して、リモートシステムのフォレンジックとデータ収集技術も含まれています。
- FOR500とSEC504を既に受講済みで、更なる技術力の向上を望む方
コースメニューへ▲ ページトップへ▲
講義内容の一例
- インシデントレスポンスとデジタルフォレンジックにおけるSIFT Workstationの先進的な使用方法
- APT組織、犯罪組織のハッカー、ハクティビストへの対応
- インシデントレスポンスと侵入に対するフォレンジック方法論
- 脅威とセキュリティに関するインテリジェンス
- 企業やリモートにおけるインシデントレスポンスのシステム解析
- Windowsにおける現場でのインシデントレスポンス
- メモリ解析
- タイムライン解析
- システム復元のポイントとボリュームシャドウコピーのエクスプロイト
- ファイルシステム解析
- Windows NTFSファイルシステムの深層調査
- ファイル復元とデータカービング
- 重要なWindowsファイルの復元
- システムに潜むマルウェアの発見
- 脅威情報の作成:各種インディケータ情報や対象および使用方法
- 侵入事例に関するレスポンスと調査のステップバイステップ方法論
コースメニューへ▲ ページトップへ▲
Matt OlneyはAPTと先進的な高度な攻撃者達について、「彼らはあなたより賢く、彼らはあなたよりリソースがあり、そして彼らはあなたの近くにまで迫っている。だから本腰を入れて取り組まなければならないのだ。」と述べています。これは、ジョークではありません。何年も前から、犯罪組織のハッカーや国に雇われたハッカーにより何度も犯罪が成功しています。APTにより何百もの組織が侵害されており、組織化された犯罪集団は、ボットネットを使用してACH(米国の小額自動振り込みシステム)に対する詐欺行為を毎日のように行っているばかりか、同じ様な集団が銀行や商社に侵入し、クレジットカード情報を日々盗んでいます。このような背景から、フォーチュン500に選ばれた企業では、年次株主報告書に、侵害され盗まれたデータを詳細に記載することを始めています。
敵は、より賢く、より大胆になっており、成功率は見事なほど高くなっているのです。
敵を食い止めることはできますが、それにはこの領域に長けた洗練されたインシデントレスポンダとデジタルフォレンジック調査員が必要です。APTを検知し、即座に根絶してしまうことが出来る腕利きのデジタルフォレンジックにおける達人を必要としています。訓練されたインシデントレスポンダでも出来るのは、侵害を放置したまま企業を守るぐらいです。本コースでは、このような先進的な攻撃に対抗できるフォレンジックの達人になるための特別な訓練を行います。敵は優秀ですが、それに勝る能力を手に入れることができるでしょう。本コースは、あなたが最高の人物になれるよう支援します。
- Rob Lee
エンタープライズインシデントレスポンス
インシデントレスポンダは最新のツールを持って、企業内のスキャン技術やメモリ解析技術などを駆使して、侵害を検知し、敵を追跡して封じ込め、発生したインシデントを修復しなければなりません。そのため、インシデントレスポンスとフォレンジックのアナリストは、検査の範囲を通常の単一システムから1,000もしくはそれ以上に拡大しなければなりません。何千ものシステムを徘徊するAPT攻撃集団や犯罪組織による標的型攻撃を追跡するため、企業内スキャンは今や必須要件になっています。これは、フォレンジック調査の手順でも一般的に言われている「ハードドライブを抜く」ということでは判らない情報を引き出すものですが、敵に検知された事実が伝わり、すぐに機密情報を盗まれ脱出されてしまいます。
このセクションでは、インシデントレスポンスを6つのステップに分け、標的型攻撃に対するレスポンスを検討しながら、セキュリティインテリジェンスの蓄積がどのように重要かを、「キル・チェイン」という考え方に沿って確認します。また、企業だけではなく、単独のシステムにも適用できるインシデントレスポンスのデモを実施します。
演習
- SIFT Workstation 3オリエンテーション
- SIFT Workstationによるドライブのマウント(リモート、ローカル)
- F-Response Enterpriseによるリモートエンタープライズ環境のメモリイメージ取得
- F-Response Enterpriseによるリモートエンタープライズ環境に対するインシデントレスポンスと分析
トピック
Real Incident Response Tactics
- Preparation: Key tools, techniques, and procedures an incident response team needs to properly respond to intrusions
- Identification: Proper scoping of an incident and detecting all compromised systems in the enterprise
- Containment: Identification of exactly how the breach occurred and what was stolen
- Eradication: Determining the key steps that must be taken to help stop the current incident
- Recovery: Recording of the threat intelligence to be used in the event of a similar adversary returning to the enterprise
- Lessons Learned
Threat and Adversary Intelligence
- Importance of Cyber Threat Intelligence
- Understanding the "Kill Chain"
- Threat Intelligence Creation and Use During Incident Response
- Incident Response Team Life-Cycle Overview
- Incident and Malware Detection - All Activity across a Specific System
- Enterprise Incident Response/Forensics - Specific Activity across All Systems
Remote and Enterprise Incident Response
- Remote System Access in the Enterprise
- Remote System Host-Based Analysis
- Scalable Host-Based Analysis (one analyst examining 1,000 systems)
- Remote Memory Analysis
Windows Live Incident Response
- Live Incident Response Kit and Tools
- Volatile Data Collection
- Comparison of Key Data Collected via Live Collection, Static Drive, and Memory Analysis Techniques
- Auto-Start Malware Persistence Checks
- Trusted Windows Command Shells
- Finding Evil: Automating Collection across the Enterprise
- Remote Command Shell Usage - PsExec
- Incident Response Using Powershell
- Live Response Key Tools
インシデントレスポンスにおけるメモリフォレンジック
高度な攻撃を検知することは多くのインシデントレスポンスチームにとって最大の関心事です。メモリフォレンジックは、わずか数年の間に格段の進歩を遂げ、APT攻撃集団が使用するワーム、ルートキット、高度なマルウェアの検知率も高くなってきています。この分野は、長らくWindows内部に精通したエキスパート達の独壇場でしたが、現在では最新のツールによる優れたインタフェースとドキュメント、そして組み込みのヒューリスティックエンジンが改善され、誰でも実行可能なように活用の場が広がりました。
このセクションでは、最新のフリーツールを紹介し、メモリフォレンジック分野の基礎を固めます。加えて、インシデントレスポンスとフォレンジックの武器となる先進的な技術を身につけ、コアスキルを構築します。
演習
- エンタープライズ環境にある複数システムのメモリから、未知のカスタムマルウェア(活動中/休止中)を検出する
- マルウェアが攻撃者とコマンド&コントロール(C2)チャネルの通信をするために利用する、一般ポートのAPTビーコンを探す
- メモリ上の文字列検索やバッファ履歴から残っているコマンドラインを探す
- マルウェア感染したシステムのメモリイメージを分析する
- Stuxnet
- TDL3/ TDSS
- Zeus/Zbot
- Conficker
- Sobig
- StormWorm Rootkit
- Black Energy
- PsExec
- Custom APT command and control malware
トピック
Memory Acquisition
- Acquisition of System Memory from both Windows 32/64 Bit Systems
- Hibernation and Pagefile Memory Extraction and Conversion
- Virtual Machine Memory Acquisition
Memory Forensics Analysis Process
- Identify Rogue Processes
- Analyze Process DLLs and Handles
- Review Network Artifacts
- Look for Evidence of Code Injection
- Check for Signs of a Rootkit
- Acquire Suspicious Processes and Drivers
Memory Forensics Examinations
- Live Memory Forensics
- Memory Analysis Techniques with Redline
- Advanced Memory Analysis with Volatility
- Code Injection, Malware, and Rootkit Hunting in Memory
- Perform In-memory Windows Registry Examinations
- Extract Typed Adversary Command Lines
- Investigate Windows Services
- Find and Dump Cached Files from RAM
- Dumping Hashes and Credentials from Memory
Memory Analysis Tools
- Rekall
- Volatility
- Redline
- MoonSols Windows Memory Toolkit
フォレンジック侵入
タイムライン解析を知れば、今までのデジタルフォレンジックとインシデントレスポンスのやり方が劇的に変わるでしょう。スパイ活動に対するタイムライン解析の先駆者から直接学ぶことで、その高度な解析技術を知ることができます。
一時データは、コンピュータシステムのありとあらゆる所に存在しています。ログファイル、ネットワークデータ、レジストリ、インターネット履歴ファイルなども、そのような一時ファイルの一例です。ファイルシステムにはMACタイム(モディファイ/アクセス/クリエイト)がその全てのデータに記録されており、それらを相関分析することで事件の究明に一歩近づくことができます。2001年にRob Leeがこの分析手法を開拓して以来、タイムライン解析は複雑な事件を解決する強力な調査手法として使用されてきました。新しいタイムライン解析のフレームワークでは、いくつもの時間ベースの解析を同時に処理することができます。これにより解析に費やす時間が1日から数分に短縮することができ、強力な調査手法としての立場を不動のものとしています。
このセクションでは、複雑なインシデントとフォレンジック事例においてタイムラインを作り、それぞれ解析する2つの手法について順に見ていきます。演習では、タイムラインの作成方法だけではなく、受講者が実際に経験した事例などを題材として、より効果的な分析につなげるための方法を紹介します。
演習
- タイムライン解析を通して、APTグループの攻撃の始まりとスピアフィッシングはどのように行われだしたのかを識別する
- APTグループがネットワークに侵入しアクセス権を維持するのに利用した、隠蔽や時刻改ざんが行われているマルウェアやユーティリティをターゲットに解析する
- スーパータイムライン解析を通して、APT攻撃の挙動を秒単位で追跡する
- ファイルシステムのタイムスタンプやその他一時的に残されるアーティファクトといった証跡を見ていくことで、エンタープライズ環境のシステムがどのように侵害され横展開されたのかを観察する
- 効率的に目的のデータを見つけるため、タイムライン上のシステムアーティファクト、ファイルシステム、レジストリをフィルタする方法を学ぶ
トピック
Timeline Analysis Overview
- Timeline Benefits
- Prerequisite Knowledge
- Finding the Pivot Point
- Timeline Context Clues
- Timeline Analysis Process
Memory Analysis Timeline Creation
- Memory Timelining
Filesystem Timeline Creation and Analysis
- MACB Meaning by Filesystem (NTFS vs. FAT)
- Windows Time Rules (File Copy vs. File Move)
- Filesystem Timeline Creation Using Sleuthkit and fls
- Bodyfile Analysis and Filtering Using the mactime Tool
Super Timeline Creation and Analysis
- Super Timeline Artifact Rules
- Program Execution, File Knowledge, File Opening, File Deletion
- Timeline Creation with log2timeline
- log2timeline Input Modules
- log2timeline Output Modules
- Filtering the Super Timeline Using l2t_process
- Targeted Super Timeline Creation
- Automated Super Timeline Creation
- Super Timeline Analysis
ディープダイブフォレンジック、アンチフォレンジックの検知
デジタルフォレンジックの専門家は、マウスをクリックするだけの単純作業でエビデンスデータを自動的に回収したとみなすことに強い批判があります。いわゆる「プッシュボタン」心理による悪影響を懸念したもので、実際に多くの間違いも発生しています。ここではツールの動作原理を理解することで「プッシュボタン」のまん延を少なくしていこうというのがねらいです。これらツールが、どのようにしてデータを取得しているかを理解するための最も良い方法は、手動で取得したデータとツールで取得したデータを復元して比べてみることでしょう。
このセクションでは、ファイル上に残された断片的な情報から特定の文字列を検索する技術や、レイヤードファイルシステムのデータを復元する方法などを学びます。ファイルやレジストリキーが削除されている場合でも、Windowsの伝統的なツール・機能を利用して、システムに存在しないように見える重要なデータを復元する方法をご紹介します。ここで学習した内容は、アンチフォレンジック技術により検知を難しくする企みよりも先んじて発見するテクニックにつながるでしょう。これは、システム侵害に対抗している中で優位に立つことができます。
演習
- ボリュームシャドウコピーと復元ポイントの解析を通して、攻撃者がアンチフォレンジック技術を使い消去したデータを復元する
- ストリームベースのデータ抽出によって、標的型攻撃の際に利用された重要なアーティファクト(ドメイン、IPアドレス、メールアドレス等)を見つける
- 侵害されたシステムで利用されたPoison Ivyの証拠を見つける
- 未割り当て領域(unallocated space)から、マルウェア/プリフェッチ/リンク(LNK)ファイル等、事実解明の鍵となるファイルを特定し、検出する
- ファイルシステムに対する知識を活用して、アンチフォレンジックやタイムストンプ(timestomping)の証拠を検出する
- ネットワークからAPTグループが秘密裏に窃盗したデータ(.rarファイル)を復元する
トピック
Advanced "Evidence of Execution" Artifacts
- RecentFileCache.bcf /Amcache.hve
- Application Compatibility Cache (ShimCache)
Windows 7/8 Server 2008/2012 Shadow Volume Copy Analysis
- Volume Shadow Copy Data Analysis
- Acquiring Shadow Copy Volume Images
- Raw and Live Shadow Copy Examination Using the SIFT Workstation
- Creating and Analyzing Shadow Volume Timelines
Deep Dive Malware and Anti-Forensic Detection
- Sleuthkit Toolset
- File-Based Data Carving
- Carving Key Files from a Compromised System (Malware, .rar Files, Prefetch Files, and Shortcut Files)
- NTFS Filesystem Analysis
- Master File Table (MFT) In Depth
- NTFS System Files
- NTFS Metadata Attributes ($Standard_Information, $Filename, $Data)
- Rules of Windows Timestamps for $StdInfo and $Filename
- NTFS Timestamps
- Resident vs. Nonresident Files
- Alternate Data Streams
- Directory Listings and the $I30 file
- Transaction Logging and the $Logfile and $UsnJrnl
- What Happens When Data is Deleted from a NTFS Filesystem?
Anti-Forensic Detection Methodologies
- MFT Anomalies
- Timeline Anomalies
- Deleted File
- Deleted Registry Keys
- File Wiping
- Clearing Browsing History
- Privacy Cleaner
- Adjusting Timestamps
侵害者・マルウェアハンティング
優秀な敵に対して、私達は彼らを上回る能力を身に付けなければなりません。
長年に渡り、多くのインシデントレスポンダは侵害の痕跡に関する指標(IOC)を使用せず、効率的ではない方法でマルウェアを検知しようとしていました。一方で敵であるインテリジェンス達は、システムを侵害するために結束を強めています。この傾向はAPTグループの攻撃では特に顕著です。
本セクションでは、ファーストレスポンダに必要なテクニックである、マルウェアの検知やシステムに隠れているどんな小さな情報でもフォレンジックの証拠として抽出するテクニックについてデモンストレーションを行います。その後、システムに隠れ込もうとする悪意あるマルウェアを見逃している可能性が無いか、デモンストレーションしたテクニックについて議論していきます。
このセクションの最後は、最も難しい種類の調査をステップバイステップで行っていきます。これにより、スピアフィッシングや侵入の調査を行う最善の方法を学ぶことが出来ます。また、ファイル消去が行われたか調査するにはどこを調べればよいか分かるようになります。利用された情報削除ツールを特定する技術を身に付けることで、攻撃者がそのようなツールで痕跡を消去しようとしたとしても、何かしら追跡出来るものを探し出すことが出来るようになります。このセクションを通じて学ぶことで、このような難しい局面を解決するための攻めの行動計画を策定し、新しいスキルを固めることが出来るようになるでしょう。
演習
- 活動中/休止中のマルウェアを追跡し、エンタープライズ環境全体から未知のマルウェアを探す
- 標的型攻撃でどのシステムに横展開されたのかを特定し、システムからシステムへ検知を回避してどのように横展開したのかを解明する
- 標的にされた環境のドメインアドミン権限を、どのようにAPTグループが奪取したのか把握する
トピック
Adversary and Malware Hunting
- Rapid Data Triage Analysis
- Cyber Threat Intelligence & Indicators of Compromise (IOC) Searching
- Evidence of Persistence
- Supertimeline Examination
- Packing/Entropy/Executable Anonmaly/Density Checks
- System Logs
- Memory Analysis
- Malware Identification
Methodology to Analyze and Solve Challenging Cases
- Malware/Intrusion
- Spear Phishing Attacks
- Web Application Attacks/SQL Injection
- Advanced Persistent Threat Actors
- Detecting Data Exfiltration
APTインシデントレスポンスチャレンジ
これは、2012年に作られた全く新しいセクションです。APTのような攻撃のシミュレーションを行い、本コースで学んだデジタルフォレンジック、ネットワークフォレンジックなどの知識を総動員して学習成果を確認します。シミュレーション環境では、複数のWindowsで構成される企業環境を模したシステムが侵害されているという状況が付与されます。受講生は、最初にどのようにシステムが侵害されたかを検出し、続いて他のシステムへ侵入した形跡を見つけ、最終的にデータ抽出によって知的財産が盗まれたことを証明するという、実践形式の訓練を通じて、その能力を競います。このシナリオは、実際にAPT組織などによる先進的な攻撃への対応に取り組んできた経験を持つ人物によってまとめられたものです。
本チャレンジでは、チームに分かれてネットワーク内の複数システムを解析します。チャレンジの最中に、実際と同じく幾つかキーとなる質問に対して回答して頂きます。
トピック
- The Intrusion Forensic Challenge will have each incident response team analyzing multiple systems in an enterprise network.
- Each incident response team will be asked to answer the following key questions during the challenge just as they would during a real-breach in their organizations:
IDENTIFICATION AND SCOPING:
- How and when did the APT group breach our network?
- List all compromised systems by IP address and specific evidence of compromise.
- When and how did the attackers first laterally move to each system?
CONTAINMENT AND SECURITY INTELLIGENCE GATHERING:
- How and when did the attackers obtain domain administrator credentials?
- Once on other systems, what did the attackers look for on each system?
- Find extracted email from executive accounts and perform damage assessment.
- Determine what was stolen: Recover any .rar files or other archives exfiltrated, find encoding passwords, and extract the contents to verify extracted data.
- Collect and list all malware used in the attack.
- Develop and present security intelligence or an indicator of compromise (IOC) for the APT-group "beacon" malware for both host- and network-based enterprise scoping. What specific indicators exist for the use of this malware?
REMEDIATION AND RECOVERY
- Do we need to change the passwords for every user in domain or just the ones affected by the systems compromised?
- Based on the attacker techniques and tools discovered during incident, what are the recommended steps to remediate and recover from this incident?
- What systems need to be rebuilt?
- What IP addresses need to be blocked?
- What countermeasures should we deploy to slow or stop these attackers if they come back?
- What recommendations would you make in order to detect these intruders in our network again?