SECURITY 504 | ||||||||||||||||||||||||||||||||||||
Hacker Tools, Techniques, Exploits and Incident Handling ~New~ |
||||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||||
受講に必要なPC環境
演習で使用するノートPCのご準備をお願いします。受講に必要なPC環境についてご確認ください。
SEC504 PC設定詳細
SANSトレーニングを有意義に受講していただくには、以下の環境のノートPCが必要です。お持ちいただいたノートPCは、コースでご用意する演習用のネットワークに直接接続していただきますので、有線LANで接続できるよう、事前に正しく設定してください。
以下のバージョンまたはそれ以上のVMwareを事前インストールする必要があります。
VMware Workstation Pro 15、 VMware Workstation Player 15、またはVMware Fusion 11を含みます。これらのいずれかを無料で30日間試用することができます。
ノートパソコンのハードウェア要件
- CPU: Intel i5/i7 x64互換 2.0GHz以上
- RAM:8GB
- USB:3.0タイプA (タイプCのみ装備のPCの場合はアダプタが必要)
- HDD/SSD:100GB以上の空き容量
- ネットワーク:802.11無線LAN
- 有線ネットワーク(Ethernet) アクセス方法が無線のみしかサポートされていないマシンの場合は、外付けの有線接続アダプタも忘れずにご用意ください。
- OS:Windows 10またはMacOS X 10.12以上
- 可能な場合にはUSBワイヤレスアダプタをご用意ください。一部のラボ(inSSIDer)で使用する予定ですが、ホストOS(Windows)にinSSIDerをインストールすることが可能な場合には、必要ありません。
本コースでは、VMwareイメージとして、12GBを超えるLinux仮想マシンファイルを使用します。そのため、HDD空き領域として100GBを超える空き領域があることだけではなく、ファイル単体で3GBといった大容量ファイルの読み書きができるファイルシステムである必要がありますので、NTFSファイルシステムで構成した環境をご用意ください。また、VMwareイメージとして、Windows10仮想マシンファイルも含まれているため、ラボでは、ホストシステムの代わりに使用することもできます。
重要事項:演習によっては、ウィルス対策ソフト(製品)を一時的に無効にしていただく場合がありますので、ウィルス対策ソフトを無効にできる管理者権限が利用できることを必ず確認してください。ウィルス対策ソフトのサービスやプロセスを停止すればよいか、という考えは間違いです。ほとんどのウィルス対策ソフトはたとえサービスやプロセスを停止したとしても、まだ機能は有効なままです。多くの企業でクライアントを管理しているウィルス対策ソフトは、クライアントのAdministratorアカウントと別のパスワードを設定してあります。必ずウィルス対策ソフトの管理者パスワードを確認しておいてください。
システムにエンタープライズグループポリシーを適用しないでください。これらのポリシーは、演習に影響を与える可能性があります。VPNクライアントは、講義に参加する際に必要なネットワーク構成を妨げる可能性がありますので、インストールされている場合には、アンインストールしてください。
演習では、VMwareを使用してWindowsとLinuxのOSを2つ同時に使用します。受講前に、VMware Workstationをシステムにインストールしておいてください。VMware Workstationのライセンスを持っていなくても、30日間はフリートライアル期間として利用することができます。VMwareウェブサイトに登録すれば、期限付きのシリアルナンバーが送られてきます。
また、MacbookやMacbook Proを使用する場合には、VMware Fusionをインストールしておいてください。
VirtualBoxは本コースのサポート対象外となり演習の妨げになりますので、インストールしないでください。
このコースでは、アタックツール一式が入ったUSBメモリを受講者に配布し演習を行います。使用後にお持ち帰りいただき、すぐに今後の分析に役立てることができます。また、ツールを事前インストールしたLinuxイメージ も配布しますので、 VMware Workstation上ですぐにご利用いただけます。
VMware用のLinuxイメージを配布するので、受講者がLinuxシステムをご持参いただく必要はございませんが、仮想マシンを動作させるためVMware Workstationをご用意する必要があります。VirtualPCなどVMware以外の仮想化ソフトウエアは、受講時のサポート対象外となりますのでご注意ください。
Linuxにあまり慣れていない方向けに、Linuxを紹介した短時間の動画を用意しています。
留意事項
このコースのワークショップでは、地球上で最も危険なネットワークのひとつに接続します。ご持参いただいたノートPCが攻撃を受けるかもしれません。したがって、システム上にいかなる機密情報も保存しないでください。演習中、他の受講者にアタックを仕掛けられたとしても、SANSは一切の責任を負いません。要件を満たした機器を事前に正しく設定してご持参いただければ、このコースで習得する内容を最大限に活用することができ、楽しんでいただけることでしょう。
※ノートパソコンの設定については、米国SANSサイトの該当ページにも詳細が掲載されています。
ノートパソコンの設定要件は、OSやVMwareのリリースやバージョンアップの状況に応じて随時更新されます。本ページと米国SANSページの設定要件が異なる場合は、「米国ページ」の方を優先してください。(リンク先ページの”Laptop Required”タブよりご確認ください。)
ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)
コース概要
インターネット上には、強力なハッキングツールとそれらを大々的に使用する悪意者が存在します。組織のコンピュータシステムがインターネットに接続されている、または組織内部に不満を抱いた従業員がいるという場合、システムは攻撃を受ける可能性が高いと言えるでしょう。悪質ハッカーがインターネット経由で攻撃を仕掛けたり、内部関係者がたやすく重要な情報資産にアクセスしたり、アタッカーは悪質・巧妙な手口をさらに増幅させながら、組織のシステムをねらっています。そのため、ディフェンダーとしては、これらのハッキングツールや手法を理解することが必要となります。
このコースは、このような悪意者のねらいとその手口を詳細に理解し、それを踏まえた脆弱性の発見と侵入検知の実技経験を養い、総合的なインシデントハンドリングが行えるようになることを目的としています。受講を通じて得られる知識とスキルによってアタッカーより優位な立場に立てるでしょう。このコースでは、いまだ幅をきかせている”古き良き”タイプの攻撃から今まさに最新の狡猾な攻撃ベクトルに至るまで、あらゆる種類の攻撃手法を押さえます。単なるハッキング攻撃技術の講義にとどまらず、アタッカーによる攻撃手法を詳細に見ていくことで攻撃に対する準備、検知、レスポンスを可能にし、段階的なプロセスを経たコンピュータインシデントレスポンス手法の習得を目指します。そして、従業員の監視や法的措置を取る際の手順、証拠の保全といった、コンピュータアタックのレスポンスに絡む法的な問題についても取り上げます。最後に、受講生は、システムのスキャンやエクスプロイト、防御に焦点を当てた実践的なハンズオンワークショップを体験します。
このコースは、特にインシデントハンドリングに携わる方の受講をお勧めします。また、一般的なセキュリティ業務、システム管理、セキュリティ構築などを担当している方にも、攻撃の阻止、検知、レスポンスを行うためのシステム設計、構築、運用の方法が理解できるという点で有益でしょう。
ただし、このコースで学んだツールや技術を自分の組織のシステムに適用する前に、関係部署に必ず書面で許可を得る必要があります。また、しかるべきテストを経て適用することも重要です。
本講座受講にあたっての前提
- Windowsコマンドラインの基本的な理解
- TCP/IPといったネットワークの主要技術に関する基本的な理解
- ハッキングツール、ハッキング手法を理解したいと願う熱い思い
- 高度な攻撃者に対抗する防御戦略を理解したいと願う強い情熱
受講対象者
- インシデントハンドリングチームに属する方
- インシデントハンドリングチームリーダー
- システムの防御と攻撃への対応の最前線にいるシステム管理者
- システムが攻撃を受けた時に最初に対応するセキュリティ担当者
- 攻撃を防止、検知、および対応するためにシステムを設計、構築および運用したい一般的なセキュリティ関係者およびセキュリティアーキテクト
講義内容の一例
- 発生する可能性のある違反に備えるための最善策
- 多くのコンピュータアタッカーが用いる段階的アプローチ
- コンピュータ攻撃の各段階における積極的かつ反応的な防御
- アクティブな攻撃とその兆候を特定する方法
- 最新の攻撃ベクトルとそれを阻止する方法
- 攻撃を適切に封じる方法
- 攻撃を復帰させない方法
- コンピュータを攻撃から復旧し、ビジネスシステムを復元する方法
- ハッキングツールと技術を理解して使用する方法
- 攻撃種類別防御戦略およびツール
- Windows、Unix、スイッチ、ルータ、およびその他のシステムへの攻撃と防御
- アプリケーションレベルの脆弱性、攻撃、防御
- インシデントハンドリングプロセスの開発とチームの戦闘準備
- インシデントハンドリングにおける法的な問題
「私は18歳のとき、学校のカード目録サーバーをハッキングしたことが発覚しました。その後私は学校から追い出されるのではなく、なんとそのまま学校職員になり、その後10年間を費やして、セキュリティーの改善に取り組む一方で、ハッカー向けツールの活用、エクスプロイトの作成、新しい手法の開発、そして猛威を振るう攻撃へのより良い対応方法の構築に努めてきました。こうした中で気が付いた点として、私が管理していたシステムの防御能力を評価し、改善するための方法として攻撃者のテクニックを理解することに多くのメリットがあるということでした。
SEC504では、インシデントレスポンス分析者の視点から、現代の攻撃者が使用しているハッカーツール、テクニック、およびエクスプロイトについて掘り下げています。ここでは、偵察から搾取、スキャンからデータ略奪まで、あらゆることを取り上げます。このコースの講義、実践的な演習、没入型のキャプストン・イベントでは、ネットワーク・セキュリティーに関する適切な判断を行うために必要なツールと手法を学ぶことができます。ハッカーの考えを学び、攻撃を識別し、高度な攻撃者からネットワークを保護するための準備が整います。」
Joshua Wright
インシデントレスポンスとコンピュータ犯罪の調査
Incident Response and Computer Crime Investigations
どのような規模にせよインシデント対応することは複雑な作業です。効果的なインシデントレスポンスには、ビジネスや情報セキュリティに関する懸念事項を含む、複数の利害関係者との慎重な検討とインプットが必要です。日々新たな脆弱性が発見されており、常に侵入の可能性はあります。オンラインの侵入に加えて、火災、洪水、犯罪などの物理的なインシデントには、システムやサービスを可能な限り迅速かつ安全にオンラインに戻すために、しっかりとしたインシデントレスポンスのアプローチが必要です。
Day1では、インシデントレスポンスとデジタル調査の両方の重要な要素を検討することから始まります。いくつかのインシデントから情報を得て、ビジネス運営とセキュリティの両方にとって重要な目標と結果を検討します。提示されたダイナミックなアプローチは、個々のビジネスやインシデントに関する特定のニーズに適用可能です。次に、より実践的な課題へと移行し、ライブシステムを取り巻く問題を検討し、異常な活動を特定します。さらに実践的な焦点を継続しつつ、ネットワークとメモリからの証拠を調査するための調査技術にも注目します。また、未知のプログラムが悪意のあるものかどうかを判断し、悪意のあるものであれば、どのような足跡が残されているかを判断するための技術も取り上げます。
演習
- Windowsのライブレスポンス
- ネットワーク調査
- メモリ解析
- マルウエア解析
トピック
インシデントレスポンス
- 共通のインシデントレスポンスの問題
- インシデントレスポンスのゴールとマイルストーン
- インシデント後の事後対応
デジタル調査
- 正しい自問自答
- 調査中のPivoting(ピボッティング)
- メモを取ること、報告書作成
- アーティファクトとイベントベースのタイムライン
ライブレスポンス
- 最小の情報で開始方法
- ライブ環境の調査
- 不審なアクティビティの確認
デジタル証拠
- デジタル証拠とは何か、どのように収集するかの理解
- 証拠保全の役割と要素
- デジタル証拠の収集方法
ネットワーク調査
- tcpdumpを利用したパケットキャプチャの解析
- Webプロキシログ
メモリ解析
- Volatilityを使ったメモリイメージの調査方法
マルウエア解析
- マルウエア解析のベーシックアプローチ
- マルウエアの動きに関するベストプラクティス
- スナップショットや継続的な記録ツールを使った環境の監視
情報収集、スキャン、列挙手法
Recon, Scanning, and Enumeration Attacks
皆さんの会社のネットワークは、潜在的な攻撃者に膨大な量の情報を提供しています。情報漏洩やオープンソース情報(OSINT)に加え、攻撃者はシステムの詳細なスキャンを行い、防御を突破するための突破口を探索しています。攻撃者は、ネットワークに侵入するために、脆弱なDMZシステムやプラットフォーム、脆弱なWi-Fiや独自の無線システムなど、侵入チャンスのあるターゲットを探し出しています。さらに攻撃者は、複雑な Windows Active Directory ドメインの詳細なスキャンと調査を行い、構成ポリシーを識別して操作することで、より有利な立場に立とうとしてます。
Day2では、多くのサイバー攻撃の初期段階に関わる詳細情報をカバーしています。MITRE ATT&CK Frameworkを通して、モダンな攻撃者のツール、技術、実践(TTP)を理解するための重要なフレームワークを紹介し、攻撃者が行う攻撃前のステップを調査する出発点としています。さらに、ローカルおよびクラウドベースのツールを活用して、ターゲット組織の効果的な偵察を行い、最初の侵害の弱点に関する情報を開示・特定します。次に、ネットワークの観点から、また最新の Windows Active Directory フフォレストの複雑さに焦点を当て、攻撃者に特権的なアクセスを与える攻撃計画を作成するためのスキャン技術を深く掘り下げていきます。また、組織への攻撃を検出するための優位性を提供する無料のオープンソースのツールを使用した防御技術にも注目します。
演習
- OSINTを使用した攻撃偵察
- 不正、悪意のある、また誤って設定されたアクセスポイントのWi-Fiネットワークスキャン
- Nmapを使用したサーバーの列挙と分析
- 脆弱性スキャンと優先順位付けの発見
- Windowsネットワークスキャンおよび一覧化の手法
- ブルーチームラボ:DeepBlueCLI
トピック
MITRE ATT&CK Frameworkの解説
- 攻撃者の評価と攻撃者のツール、技術、実践(TTP)のマッピングに関するネットワーク
- MITRE ATT&CK Frameworkを使ったよりスマートな攻撃者の評価
- SEC504とMITRE ATT&CK Frameworkの統合方法
情報収集
- ネットワークで明らかになることは何か
- たくさんの情報を漏洩していませんか?
- 証明書の透過性を利用したプリプロダクションサーバーの識別
- DNS情報の収集
- 求人情報、ウェブサイト、政府機関のデータベースからのデータ収集
- 公開された危険なアカウントの特定
- FOCAによるメタデータ分析
- SpiderFootを使ったOSINTデータの収集
- ターゲット発見のためのSHODANを使った検索の実践
スキャン
- ネットワークを列挙するために攻撃者が使用するテクニック
- 個人および企業のWi-Fiの検出と攻撃
- 独自の無線LANシステム識別と利用
- ポートスキャン:大規模・小規模に情報を列挙する
- Webサーバからの迅速かつ効果的な情報収集
- OS、サービス、パッチレベルによるターゲットの特徴把握
- 脆弱性スキャンと対策の優先順位付け
Windows Active Directoryのターゲット一覧化
- BloodHound, SharpViewによるWindows Active Directory ドメインの一覧化
- PowerShell EmpireによるWindows Command and Control
- LinuxからWindowsターゲットへのOSブリッジング
- 洗練されたWindowsネットワーク機能によるSMB攻撃に対する防御
- Windows Server 2019のSMBセキュリティ機能の理解
ブルーチームラボ:DeepBlueCLI
- PowerShellを使ったWindowsシステム一覧の取得
- 迅速で効果的なWindowsイベントログ解析
- PowerShellの出力変更ツールを用いたレポート作成や解析への活用
- Windowsサーバに対する一般的なWindowsスキャンと攻撃の特徴
パスワード攻撃と不正アクセス
Password and Access Attacks
パスワードの漏洩はエクスプロイトの漏洩よりまだ良い、とどの攻撃者も同じことを言うでしょう。有効なユーザ名とパスワードによるシステムアクセスは、エクスプロイトよりも信頼性が高いだけでなく、認証された資格情報を使用することで、通常のシステム使用に溶け込み、検出につながるログやシステムの異常を見せにくくすることができます。このような攻撃が非常に蔓延しているため、パスワードベースの攻撃を詳細に掘り下げ、防御しなければならない高度な攻撃者と同じスキルとテクニックでシステムをテストするためのツールを提供しています。
Day3は、簡単なパスワード推測攻撃から始まり、アカウントロックアウトなどの防御システムを回避する効果的なプロセスを採用するために攻撃者が採用しているテクニックを素早く調査します。別のネットワーク侵害から効果的なパスワード推測リストを作成することや、攻撃者がどのようにしてユーザーのパスワードを再利用して組織を攻撃するかなど、重要なトピックを調査します。また、パスワードハッシュの背後にあるアルゴリズムを掘り下げ、いくつかのツールを使用して、クラッキングプロセスを数年ではなく数日で完了させるようにを最適化しながらパスワードの平文復元を行います。また、簡単なバックドア、フォワードシェルとリバースシェル、組織内でのデータ転送の離散などを利用して、本質的なネットワーク攻撃のトピックを理解するための第一歩を、気取らないシステムバイナリを通して踏み出します。また、組織内の認証ログを監視するためのドメインパスワード監査ツール(DPAT)やElastic Stack(旧ELK)ツールの使用など、業務に戻ってからすぐに活用できる防御策についても調査します。
演習
- Hydraでのオンラインパスワード推測攻撃
- ブルーチームラボ:Elastick Stackを使ったパスワード推測攻撃の解析
- HashcatとJohn the Ripperを使った効果的なパスワードクラック
- ブルーチームラボ:DPATを使ったドメインパスワード流出の分析
- Netcatを使ったデータの抽出、スキャン、転送
トピック
パスワード攻撃
- 攻撃者がアカウントロックアウトポリシーを回避する方法
- パスワード推測攻撃のターゲットプロトコルの選択
- パスワードリストを選択する技術
- 攻撃者が組織に関する危険なパスワードリストを再利用する方法
- パスワードクラッキングの技術
- 自組織でパスワードクラッキングから守る推奨方法
ブルーチームラボ:Elastick Stackを使ったログ分析(旧名:ELK)
- Elasticsearch、Logstack、Beats、Kibanaによる軽いログ解析システムの構築
- LinuxやUNIX認証にかかわるログデータの理解
- Filebeatを使ったシンプルなログの取り込みの実施
- Kibana を使用してパスワード攻撃イベントを識別
- 効果的なスレッドハンティングを可視化するためのKibanaカスタマイズ
パスワードハッシュの理解
- ハッシュアルゴリズム、プロセスと課題
- Windows Server 2019にあるWindowsハッシュ機能の理解
- パスワードハッシュ機能の強度や品質のメトリックス
- ビルトインツールを使ったWindowsドメインパスワードハッシュの抽出
- Windows10からのパスワードハッシュの抽出
- UNIXとLinuxのパスワードハッシュのデコード
- PBKDF2、bcrypt、および scryptを使ったGPUベースのクラッキング対策
パスワードクラッキング攻撃
- John the Ripper: single, wordlist, incremental,external のクラッキングモード
- Hashcatを使ったハッシュ値のクラッキング:straightとcombinatorモードでの攻撃
- マスク攻撃を使った効果的なハッシュ計算
- Hashcatのルールを使ってユーザパスワード選択の弱点を破る
- パスワードクラックから守るための3つのシンプルな戦略
ブルーチームラボ:Domain Password Audit Tool
- シンプルなPowerShell一行スクリプトでWindowsドメイン設定を一覧化
- ユーザがパスワードを選択する際の体系的行動の特徴
- 組織内での弱いパスワード違反者の特定
- Windows ドメインでのパスワード共有対策
Netcat:攻撃者のベストフレンド
- ファイル転送、バックドア作成
- 攻撃元追跡を困難にするためのNetcatリレー
- Netcatを使ったリプレイ攻撃
外部からの攻撃とDrive-By攻撃
Public-Facing and Drive-By Attacks
外部からの攻撃やDrive-By攻撃は、組織にとって深刻なリスクであり、組織を標的とする攻撃者にとっては一般的な攻撃トレンドとなっています。ウェブアプリケーション、VPNサーバ、電子メールシステム、およびその他のサポートプロトコルなどに対する外部からの攻撃ターゲットは、攻撃者によって迅速に特定され、脆弱性を評価されます。Drive-By攻撃では、攻撃者はサードパーティの正当なウェブサイトを利用し、ユーザーを騙してシステムを脆弱にするような行動を取らせます。
Day4では、Metasploit などのエクスプロイトフレームワークを使用して、公開されたシステムを侵害するハッカーツールを調査します。また、Drive-By攻撃や水飲み場攻撃の背後にある概念とテクニックを掘り下げ、悪意のあるインストーラ、ブラウザのJavaScript、悪意のあるMicrosoft Office文書を介して、攻撃者がどのようにしてエクスプロイトやシステム侵害ツールを作成するかを調べます。また、組織におけるWebアプリケーションに特有の攻撃を、認証されていないユーザと認証されたユーザの両方の観点から、最も一般的なWebアプリケーションの脆弱性に対する実践的な悪用手順とともに検証します。ハッカーツールの調査に加えて、Windows SRUMデータベースを使用したシステムアクティビティの履歴レポート作成や、Webサーバのログデータを調査して攻撃の兆候を特定するためのElastic Stack (旧ELK)ツールの使用など、いつでも利用可能で実用的ないくつかの防御策を調査します。
演習
- Metasploit攻撃と分析
- ソフトウエアアップデート・ブラウザエクスプロイト
- システムリソース利用量データベース分析
- コマンドインジェクション攻撃
- クロスサイトスクリプティング攻撃
- SQLインジェクション攻撃
- SQLインジェクションログ解析
トピック
Metasploitを使ったシステム脆弱性調査
- 特定の攻撃目的のためのMetasploitフレームワークの利用方法
- 調査情報とエクスプロイトのマッチング
- Metasploit Meterpreter のCommand&Controlの配備
- システムとネットワーク上のMetasploitエクスプロイトアーティファクトの特定
Drive-Byと水飲み場攻撃
- ブラウザの危険性の検証
- Javascriptを使ったブラウザの脆弱性の識別
- Microsoft Oficceを使ったコード実行攻撃
- 攻撃者ペイロードを使った合法的なバックドア埋め込み
ブルーチームラボ:システムリソース利用量モニタ(SRUM)
- Windows10アプリケーション履歴を用いた攻撃者のの行動の評価
- 保護されたSRUMデータベースから有用なデータを抽出
- SRUMの生データをインシデント後の有用な分析データに変換
Webアプリケーション攻撃
- ユーザ一覧作成のためのアカウントハーべスティング
- コマンドインジェクション攻撃(リモートからのWebサーバへのコマンドインジェクション)
- SQLインジェクション:バックエンドのデータベースを操作する
- セッションクローニング:ほかのユーザのWebセッションを奪う
- クロスサイトスクリプティング:被害者となるブラウザセッションを操作
ブルーチームラボ:効果的なWebサーバのログ解析
- Elastic Stackを使った攻撃後のログ解析
- Webサーバログのボリュームを考慮したFilebeatの設定
- Kibana Query Language (KQL)を使ったWeb攻撃の特定
- 共通のSQLインジェクション攻撃シグニチャのための情報収集
- CyberChef による難読化された攻撃シグネチャの解読
回避と侵入後の攻撃
Evasion and Post-Exploitation Attacks
攻撃者の目的は、単にシステムを侵害することではありません。多くの場合、攻撃者による侵害はあくまでも最初のステップであり、その後、さらなるネットワークアクセスや組織内の機密データの取得を目的としたポストエクスプロイト攻撃が行われます。その過程で攻撃者は、エンドポイント保護、サーバのロックダウン、制限された特権者環境など、その攻撃活動を阻止するために設計された防御策に対処しなければなりません。
Day5では、初期の侵害が終わった後の攻撃者のステップを検証します。EDRプラットフォームを回避した後、攻撃者がマルウェアを埋め込むために使用するテクニック、サードパーティ製および組み込みのツールを使用してネットワークを踏み台を経由して移動する方法、ネットワークの内部スキャンおよび情報資産探索のためのネットワーク上のはじめの一歩の活用方法を掘り下げていきます。さらに、1つのホストの侵害が、攻撃者に特権的なネットワークインサイダーアクセスを与え、攻撃が新しい分野を切り開く方法と、そのアクセスを賢く利用して、検出システムを回避するためにホストやネットワーク上の痕跡を隠蔽する方法を見ていきます。また、攻撃者が最初のアクセスを確立したのち、侵害されたネットワークからどのようにアクセスし、データを収集し、流出させるかを見ていきます。そして、新しいスキルを永続的で長期的な記憶に変えるためのリソースとベストプラクティスを検討し、コース終了後のゴールはどこかを見定めて、コースの講義のコンポーネントを終了します。
演習
- Metasploitを使った先進的なネットワークピボッティング
- インサイダーネットワーク攻撃イベントの分析
- Windowsの乗っ取り:Responder攻撃
- 不正アクセス後のコマンド履歴解析
- Windowsサーバでの足跡隠ぺい
- Windowsイベントログの改ざん
- RITAを使ったネットワーク脅威ハンティング
トピック
エンドポイントセキュリティ製品の回避
- 実行可能な操作(ghostwriting)でEDRを回避
- WindowsDefenderの操作による攻撃シグニチャの公開
- LOLBASを利用してホワイトリストを回避
- 堅牢なプラットフォームでのMetasploitペイロードの実行
ピボッティングと横展開
- 最初の脆弱ポイントから内部ネットワークへのピボッティング(踏み台)
- Meterpreterペイロードでの効果的なポートフォワーディング
- 侵害されたホストを利用して内部ネットワークのスキャン、悪用を実行
- Windows netshと内部ネットワークアクセス攻撃
内部LANの攻撃
- 初回アクセスをネットワーク攻撃に活用
- パケットスニファー、MITMアタックツールの実装
- 侵害されたWindowsサーバでのネイティブパケットキャプチャー
- 脆弱なプロトコル:DNS、HTTP
- Flamingoを使ったネットワークサービスのなりすまし攻撃
- パスワード解析のためのWindows名前解決の悪用
足跡隠ぺい
- 侵害されたホストの操作によるアクセスの継続
- LinuxとWindowsのログファイルの編集
- WindowsADSの隠しデータ
- 隠れたコマンド&コントロールを経由したネットワーク接続の持続
ブルーチームラボ:Real Intelligence Threat Analytics (RITA)
- ネットワーク経由での先進的なCommand&Control操作の特徴
- Zeekを使ったネットワークデータのキャプチャと解析
- ネットワーク脅威ハンティング:ビーコン、長時間接続、ストロボ、DNS解析
インシデント後のデータ収集
- 侵害されたLinuxホストからパスワード収集
- Mimikatzを使ったパスワードダンプとEDRのバイパス
- WindowsとmacOSのパスワードマネージャのクラック
- Windowsキーストロークログ攻撃
- いくつかのネットワークプロトコルを用いたデータ漏えい
コース終了後のゴールは?
- 勉強のための時間が足りないという悩みを解決するテクニック
- 忘却曲線のジレンマを理解する
- 学んだことを長期的に定着させるテクニック
- 資格取得に向けた学習戦略の構築、知識の応用
Capture the Flagイベント
Capture the Flag Event
長年にわたり、セキュリティ業界は攻撃者を食い止めるために、より賢く、より効果的になってきました。残念ながら、攻撃者自身も賢くなり、より洗練されてきています。攻撃者を阻止する最も効果的な方法の1つは、攻撃者が使用するのと同じツールや戦術で実際に環境をテストすることです。このCapture-the-Flagイベントは、最近侵害された架空の会社のコンサルタントとして働くという、1日体験型のイベントです。最新の洗練されたネットワーク環境を侵害するために攻撃者が使用するのと同じテクニックを使用して、授業で学んだスキルをすべて活用します。グループでチームを組んで、Windows、Linux、Io T、クラウドなど、サイバー上のさまざまなターゲットシステムを対象に、スキャン、エクスプロイト、ポストエクスプロイトのタスクを行います。このハンズオンチャレンジは、現代のネットワークを再現した環境の中で、各プレイヤーがそれぞれのスキルを練習し、コース全体で学んだ概念を強化することができるように設計されています。NetWarsエンジンを搭載したこのイベントでは、ターゲットシステムへの侵入、エンドポイント保護プラットフォームの回避、内部ネットワークの高価値ホストへの移行、ターゲット組織にとって最大の価値を持つデータの流出を成功させるためのガイドをプレイヤーに提供します。優勝者にはSEC504チャレンジコインが贈られます。
トピック
ハンズオン
- ユーザパスワードの問題を悪用
- スキャンや調査分析の完了
- OSINTリソースを使ってターゲットネットワークに関する情報の収集
- 偵察用データと公開されたエクスプロイトとのマッチング
- Linux および Windows システムでの特権のエスカレーション
- 一般的なWindowsドメインの脆弱性の悪用
- 侵害されたシステムのデータの盗聴
- 最初に侵害したネットワークから内部ネットワークへの移行
- ネットワーク侵害後の攻撃者のアーティファクトの特定