あなたを標的にしている攻撃者に対して利点を得る方法があります。それは、正しい考えや何が効果的であるかを知ることから始まります。

インシデントレスポンダは最新のツールを持って、企業内のスキャン技術やメモリ解析技術などを駆使して、侵害を検知し、敵を追跡して封じ込め、発生したインシデントを修復しなければなりません。そのため、インシデントレスポンスとフォレンジックのアナリストは、検査の範囲を通常の単一システムから1,000もしくはそれ以上に拡大しなければなりません。何千ものシステムを徘徊するAPT攻撃集団や犯罪組織による標的型攻撃を追跡するため、企業内スキャンは今や必須要件になっています。これは、フォレンジック調査の手順でも一般的に言われている「ハードドライブを抜く」ということでは判らない情報を引き出すものですが、敵に検知された事実が伝わり、すぐに機密情報を盗まれ脱出されてしまいます。

このコースではF-Response Enterprise Editionの6ヶ月ライセンスを受け取り、ワークステーションまたはSIFTワークステーションを使用して企業内の数百または数千のシステムに接続することができます。この機能は、レスポンダが企業全体の脆弱性の指標を探すことを可能にする新しいインシデント対応テクノロジのベンチマーク、容易化、およびデモンストレーションに使用されます。

演習

• SIFT Workstation 3オリエンテーション
• SIFT Workstationによるドライブのマウント（リモート、ローカル）
• サイバースレットインテリジェンス - インジケータの作成と検査
• マルウェアの自動起動と永続性分析
• F-Response Enterpriseによるリモートエンタープライズ環境のメモリイメージ取得
• F-Response Enterpriseによるリモートエンタープライズ環境に対するインシデントレスポンスと分析

トピック

実際のインシデント対応戦略

• 準備：侵入に対する適切な対応をするためにインシデント対応チームが必要とする主要なツール、技法、および手順
• 識別/スコーピング：インシデントを適切にスコーピングと企業内の侵入を受けたすべてのシステムの検出
• 封じ込め/インテリジェンス開発：脅威インテリジェンスを開発するための攻撃者のアクセスの制限、監視、および学習
• 根絶/修復：現在のインシデントを阻止するために必要な重要なステップの決定と実行
• 回復：類似の攻撃が再度発生した際に備えた脅威インテリジェンスの記録
• 「場当たり」的対応の回避：即時根絶を行うには適切なインシデントの範囲指定と封じ込めなしには実現しない

脅威ハンティング

• ハンティングと受動対応
• インテリジェンス主導のインシデント対応
• 継続的なインシデント対応/脅威の脅威ハンティングの構築
• フォレンジック分析と脅威ハンティング
• 脅威ハンティングチームの役割

サイバー脅威インテリジェンス

• サイバー脅威インテリジェンスの重要性
• 「キルチェーン」を理解する
• インシデント対応および脅威のハント中の脅威インテリジェンスの作成と使用
• 侵害指標の作成
• インシデント対応チームのライフサイクルの概要

企業における脅威ハンティング

• 侵害されたシステムの特定
• 活動中、休止中のマルウェアの発見
• デジタル署名されたマルウェア
• マルウェアの特徴
• 一般的な隠蔽のメカニズム
• 正常を理解して悪を見つける一般的なWindowsサービスとプロセスについて
• svchost.exeの悪用

マルウェアの持続性の識別

• 自動起動の場所
• サービスの作成/交換
• サービス障害回復
• スケジュールされたタスク
• DLLのハイジャック
• WMIイベントコンシューマ
• 詳細 - ローカルグループポリシー、MS Officeアドイン、またはBIOSフラッシュ

リモートおよびエンタープライズのインシデント対応

• 企業内のリモートシステムアクセス
• リモートシステムのホストベース分析スケーラブルなホストベースの分析（1人のアナリストが1,000システムを調査）およびデータスタッキング
• リモートメモリ解析

侵入している間にメモリ解析を行うと、不正行為が行われているように感じることがあります。アクティブなマルウェアを見つけることは簡単なことではありません。

高度な攻撃を検知することは多くのインシデントレスポンスチームにとって最大の関心事です。メモリフォレンジックは、わずか数年の間に格段の進歩を遂げ、APT攻撃集団が使用するワーム、ルートキット、高度なマルウェアの検知率も高くなってきています。この分野は、長らくWindows内部に精通したエキスパート達の独壇場でしたが、現在では最新のツールによる優れたインタフェースとドキュメント、そして組み込みのヒューリスティックエンジンが改善され、誰でも実行可能なように活用の場が広がりました。

このセクションでは、最新のフリーツールを紹介し、メモリフォレンジック分野の基礎を固めます。加えて、インシデントレスポンスとフォレンジックの武器となる先進的な技術を身につけ、コアスキルを構築します。

演習

• エンタープライズ環境にある複数システムのメモリから、未知のカスタムマルウェア（活動中／休止中）を検出する
• マルウェアが攻撃者とコマンド＆コントロール（C2）チャネルの通信をするために利用する、一般ポートのAPTビーコンを探す
• メモリ上の文字列検索やバッファ履歴から残っているコマンドラインを探す
• ベースラインシステムに対して侵害されたシステムメモリを比較する
• コードインジェクションとルートキットを含む高度なマルウェア隠蔽手法を特定する
• マルウェア感染したシステムのメモリイメージを分析する
  • Stuxnet
  • TDL3/ TDSS
  • Zeus/Zbot
  • Conficker
  • Sobig
  • StormWorm Rootkit
  • Black Energy
  • PsExec
  • Custom APT command and control malware

トピック

メモリ獲得

• Windows 32および64ビットシステムからのシステムメモリの取得
• ハイバネーションとページファイルメモリの抽出と変換
• 仮想マシンのメモリ獲得

レスポンスとハンティングのためのメモリフォレンジック分析プロセス

• 不正なプロセスの特定
• プロセスDLLとハンドルの解析
• ネットワークアーティファクトの確認
• コードインジェクションの証拠探し
• ルートキットの兆候確認
• 疑わしいプロセスとドライバの入手

メモリフォレンジックスの検査

• ライブメモリフォレンジック
• Redlineによるメモリ解析手法
• ボラティリティを備えた高度なメモリ解析
• メモリ内でのコードインジェクション、マルウェア、およびルートキットのハンティング
• メモリ内のWindowsレジストリ検査を実行する
• 型指定された攻撃者用コマンドラインの抽出
• Windowsサービスの調査
• 比較ベースラインシステムを使用したマルウェアのハンティング
• RAMからキャッシュファイルを検索してダンプ
• メモリからのハッシュとクレデンシャルのダンプ

メモリ解析ツール

• Rekall
• Volatility
• Redline
• MoonSols Windows Memory Toolkit

攻撃者はいい加減であり、どこにでも足跡を残します。最高のハンターの秘密を学んでください。

サイバーディフェンダーには、ネットワーク内の敵の活動を特定、捜索、追跡するためのさまざまなツール類が用意されています。各攻撃者の行動は対応するアーティファクトとして証跡（フットプリント）として残されており、予測可能な攻撃パターンに対して調査を集中することが各チームメンバーに求められます。一例として、ある時点で、攻撃者はその目的を達成するためにコードを実行する必要があります。このアクティビティは、アプリケーション実行アーティファクトによって識別できます。攻撃者はコードを実行するために1つまたは複数のアカウントも必要となります。したがって、アカウント監査は悪意のある操作を識別する強力な手段となります。攻撃者はネットワーク全体に移動する手段も必要とするため、私たちはミッションのこの部分を達成するための比較的少数の方法によって残された証跡を探します。このセクションでは、一般的な攻撃者のスパイ活動の技術について説明し、エンタープライズ内の悪意のあるアクティビティを識別するために使用できる様々なデータソースとフォレンジックツールについて解説します。

演習

• Shimcacheから実行の痕跡を検出する
• Shimcacheメモリ(RAM)検査
• メモリと未割り当て領域（unallocated space）からプリフェッチを特定・検出する
• 最近使ったファイルのキャッシュおよびボリュームシャドーコピーから悪意ある行動を見つける
• イベントログ分析を行い横展開して追跡する
• イベントログの抽出・分析から資格情報の乱用を発見する

トピック

実行痕跡の高度な証拠

• アプリケーション互換性キャッシュ
• メモリを介したプリフェッチとShimcacheの抽出
• RecentFileCache
• Aamcache

ウィンドウシャドウボリュームコピー分析

• ボリュームシャドウコピー分析オプション
• SIFTワークステーションを使用した生およびライブシャドウコピーの検査
• シャドウコピー分析と調査の統合
• ターゲットシャドウコピー分析

横移動に対する戦術、テクニック、手順（TTP）

• 正当な資格情報の盗用と利用
• クレデンシャル技術の侵害
• リモートデスクトップサービスの悪用
• Windows管理者による不正使用の共有
• PsExecの利用
• Windowsリモート管理ツールのテクニック
• PowerShellリモート処理/ WMICハッキング
• 脆弱性の悪用

インシデントレスポンダおよびハンターのイベントログ分析

• プロファイリングアカウントの使用
• 横方向の動きの追跡とハンティング
• 疑わしいサービスの特定
• 不正アプリケーションのインストール検出
• マルウェア実行とプロセス追跡の発見
• コマンドラインとスクリプトのキャプチャ
• アンチフォレンジックとイベントログの消去

タイムライン解析は、デジタルフォレンジック脅威のハンティング及びインシデントなどへの対応方法に変革をもたらします。

タイムライン解析を知れば、今までのデジタルフォレンジックとインシデントレスポンスのやり方が劇的に変わるでしょう。スパイ活動に対するタイムライン解析の先駆者から直接学ぶことで、その高度な解析技術を知ることができます。

一時データは、コンピュータシステムのありとあらゆる所に存在しています。ログファイル、ネットワークデータ、レジストリ、インターネット履歴ファイルなども、そのような一時ファイルの一例です。ファイルシステムにはMACタイム（モディファイ／アクセス／クリエイト）がその全てのデータに記録されており、それらを相関分析することで事件の究明に一歩近づくことができます。2001年にRob Leeがこの分析手法を開拓して以来、タイムライン解析は複雑な事件を解決する強力な調査手法として使用されてきました。新しいタイムライン解析のフレームワークでは、いくつもの時間ベースの解析を同時に処理することができます。これにより解析に費やす時間が1日から数分に短縮することができ、強力な調査手法としての立場を不動のものとしています。

このセクションでは、複雑なインシデントとフォレンジック事例においてタイムラインを作り、それぞれ解析する2つの手法について順に見ていきます。演習では、タイムラインの作成方法だけではなく、受講者が実際に経験した事例などを題材として、より効果的な分析につなげるための方法を紹介します。

演習

• タイムライン解析を通して、APTグループの攻撃の始まりとスピアフィッシングはどのように行われだしたのかを識別する
• APTグループがネットワークに侵入しアクセス権を維持するのに利用した、隠蔽や時刻改ざんが行われているマルウェアやユーティリティをターゲットに解析する
• スーパータイムライン解析を通して、APT攻撃の挙動を秒単位で追跡する
• ファイルシステムのタイムスタンプやその他一時的に残されるアーティファクトといった証跡を見ていくことで、エンタープライズ環境のシステムがどのように侵害され横展開されたのかを観察する
• 効率的に目的のデータを見つけるため、タイムライン上のシステムアーティファクト、ファイルシステム、レジストリをフィルタする方法を学ぶ

トピック

タイムライン解析の概要

• タイムライン解析による利点
• 前提知識
• Pivot Pointの検出
• タイムラインコンテキストのヒント
• タイムライン解析のプロセス

メモリ解析タイムラインの作成

• メモリのタイムライン

ファイルシステムタイムラインの作成と分析

• ファイルシステム別MACBの意味
• Windowsタイムルール（ファイルコピーとファイル移動）
• Sleuthkitとflsを使用したファイルシステムタイムラインの作成
• mactimeツールを使用したボディファイルの分析とフィルタリング

スーパータイムラインの作成と分析

• スーパータイムラインアーティファクトルール
• プログラムの実行、ファイルの知識、ファイルの開き方、ファイルの削除
• log2timeline / Plasoによるタイムラインの作成
• log2timeline入力モジュール
• log2timeline出力モジュール
• l2t_processを使用したスーパータイムラインのフィルタリング
• ターゲットスーパータイムラインの作成
• 自動化されたスーパータイムラインの作成
• スーパータイムライン解析
• ボリュームシャドウコピーのタイムライン

先進的な攻撃は優れていますが、私たちはその上に立つ必要があります。

優秀な敵に対して、私達は彼らを上回る能力を身に付けなければなりません。

長年に渡り、多くのインシデントレスポンダは侵害の痕跡に関する指標（IOC）を使用せず、効率的ではない方法でマルウェアを検知しようとしていました。一方で敵であるインテリジェンス達は、システムを侵害するために結束を強めています。この傾向はAPTグループの攻撃では特に顕著です。

本セクションでは、ファーストレスポンダに必要なテクニックである、マルウェアの検知やシステムに隠れているどんな小さな情報でもフォレンジックの証拠として抽出するテクニックについてデモンストレーションを行います。その後、システムに隠れ込もうとする悪意あるマルウェアを見逃している可能性が無いか、デモンストレーションしたテクニックについて議論していきます。

演習

• 活動中／休止中のマルウェアを追跡し、エンタープライズ環境全体から未知のマルウェアを探す
• 標的型攻撃でどのシステムに横展開されたのかを特定し、システムからシステムへ検知を回避してどのように横展開したのかを解明する
• 標的にされた環境のドメインアドミン権限を、どのようにAPTグループが奪取したのか把握する

トピック

インシデントレスポンススクリプティングの進化

• WMIC
• PowerShell
• PowerShellを使用したインシデントレスポンスにおけるトリアージ

マルウェアとアンチフォレンジック検出

• NTFSファイルシステム分析マスターファイルテーブル（MFT）の重要領域
  • NTFSシステムファイル
  • NTFSメタデータ属性（$ Standard_Information、$ Filename、$ Data）
  • $ StdInfoおよび$ Filenameに対するWindowsタイムスタンプの規則
  • NTFSタイムスタンプ
  • 常駐ファイルと非常駐ファイル
  • 代替データストリーム
  • ディレクトリ一覧と$ I30ファイル
  • トランザクションロギングと$ Logfileおよび$ UsnJrnl
  • NTFSファイルシステムからデータが削除された時の挙動

アンチフォレンジック検出方法論

• MFTの異常
• タイムライン異常
• 削除されたファイル
• 削除されたレジストリキー
• ファイル消去
• タイムスタンプの調整

アクティブなマルウェアを使用しない侵害ホストの特定

• 迅速なデータトリアージ分析
• サイバー脅威インテリジェンスと侵害状況検索の指標
• 持続性の証拠
• スーパータイムラインのテスト
• パッキング/エントロピー/実行可能異常/密度チェック
• システムログ
• メモリ分析
• マルウェアの識別

APTのような攻撃のシミュレーションを行い、本コースで学んだデジタルフォレンジック、ネットワークフォレンジックなどの知識を総動員して学習成果を確認します。シミュレーション環境では、複数のWindowsで構成される企業環境を模したシステムが侵害されているという状況が付与されます。受講生は、最初にどのようにシステムが侵害されたかを検出し、続いて他のシステムへ侵入した形跡を見つけ、最終的にデータ抽出によって知的財産が盗まれたことを証明するという、実践形式の訓練を通じて、その能力を競います。このシナリオは、実際にAPT組織などによる先進的な攻撃への対応に取り組んできた経験を持つ人物によってまとめられたものです。

本チャレンジでは、チームに分かれてネットワーク内の複数システムを解析します。チャレンジの最中に、実際と同じく幾つかキーとなる質問に対して回答して頂きます。

トピック

• 侵入フォレンジックチャレンジでは各インシデント対応チームは企業ネットワーク内の複数のシステムで発生したインシデントの解析を行います。
• チャレンジ中、各インシデント対応チームは組織内での実際の侵害と同様に、以下にリストされているさまざまなカテゴリの重要な質問に答え、重大な問題に対処するよう求められます。
 

識別とスコープ

1. APTグループはいつ、どのようにしてネットワークを侵害したか？
2. 侵入された全システムのIPアドレスと侵入特有の痕跡を一覧化します。
3. 攻撃者はいつ、どのようにして最初の水平方向の動きを各システムに対して行ったか？

封じ込めと脅威インテリジェンスの収集：

1. 攻撃者はいつ、どのようにしてドメイン管理者の資格情報を入手したか？
2. 一旦侵入し後、攻撃者は各システムで何を探したか？
3. エグゼクティブアカウントに紐付く電子メールから受けた損害の評価を行う。
4. 盗まれたものの特定。抽出された.rarファイルまたはその他のアーカイブを復元し、暗号化パスワードを見つけ、内容を抽出して抽出データを検証する。
5. 攻撃に使用されたすべてのマルウェアを収集して一覧化。
6. 企業のホストベース、ネットワークベースの両方をスコープとし、ATPグループによる「ビーコン」マルウェアの攻撃検知指標を開発してセキュリティインテリジェンスに提示。このマルウェアの使用に関してどのような具体的な指標があるか？

修復と回復

1. ドメイン内のすべてのユーザーのパスワードを変更する必要があるか？それとも侵入によって影響を受けたホストだけでよいのか？
2. インシデント中に発見された攻撃者のテクニックとツールに基づくインシデントの修正と回復に向けた推奨手順は何か？
   1. システムを再構築する必要があるか？
   2. どのIPアドレスをブロックする必要があるか？
   3. これらの攻撃者が戻ってきた場合の対処方法を教えてください。
   4. 私たちのネットワークでこれらの侵入者をもう一度検出するために、どのような提案をしますか？