homepage
Open menu
2340x500_DFIR_Header_Light.jpg

FOR508: Advanced Incident Response, Threat Hunting, and Digital Forensics

Associated Certification: GIAC Certified Forensic Analyst (GCFA) CPEs: 36
Register

OnDemand: 4 months of access 
Price: $7,270 USD

インシデントレスポンスとスレットハンティングを徹底的に取り扱うこのコースでは、APTのような国家が関与する敵対者や犯罪組織、ハクティビズムなど、企業ネットワーク内に侵入する様々な脅威を捕捉、特定、対抗、復旧させる高度なスキルを提供します。本コースは継続的に更新され、精鋭のレスポンダーやハンターが、現実世界の侵害行為を正確に検知、対抗、対応するためのインシデントレスポンスとスレットハンティングにおける戦術と手法をハンズオンにより提供します。


インストラクター: Chad Tilbury

470x382_GAC3.jpg

9月末まで日本語字幕付きFOR508 OnDemandコースの特別オファーを実施しています。

次の3つの手順に従ってお申込み下さい。

  1. 日本語字幕付FOR508 OnDemandコースを申込ページから登録する
  2. 無料のGCFA GIAC認定試験には、チェックアウト時にディスカウントコード「JP-GCFA-0821」を入力します(チェックアウト時に登録ページのアドオンでGIAC試験を確認してください)
  3.  対象期間の2021年9月30日までにコース料金をお支払下さい

ADVANCED THREATS ARE IN YOUR NETWORK - IT'S TIME TO GO HUNTING!

「FOR508: Advanced Incident Response, Threat Hunting, and Digital Forensics」は、以下の項目を理解することに主眼が置かれています。

    • いつ、どのように侵害が起きたのかを検知する
    • 侵害されたシステムとその影響の広がりを特定する
    • ダメージを測定し、どのデータが持ち去られたか、どのデータが改ざんされたかを特定する
    • インシデントを封じ込め、修復する
    • スレットインテリジェンスに関する主要なソースを開発する
    • 攻撃者の知識を利用して他の侵害をハントダウンする

    このコースでは、実際に起こったAPT攻撃によって侵害された組織をベースにした演習を用いて、ネットワークをターゲットとするAPTグループの戦略に対抗するために、SIFTワークステーション上の多くのツールを使用して、課題と解決策を導き出します。

    侵入とスレットハンティングの演習では、最初の標的となった攻撃の発生場所と、攻撃者がそこからどのようにして複数のシステムに水平展開したかを特定します。これにより、重要なサイバースレットインテリジェンスを抽出して作成し、脅威の範囲を適切に特定して、将来の侵害を検知するのに役立てることができます。

    標的型攻撃では、組織は最高のインシデントレスポンスチームが必要です。本コースでは、組織への侵入やデータ侵害に対して、検知、範囲特定、停止などの一連の対応ができる技術を提供します。

    GATHER YOUR INCIDENT RESPONSE TEAM - IT'S TIME TO GO HUNTING

    FOR508コーストピック

    • インシデントレスポンスとデジタルフォレンジックを効果的に実行するための様々なオープンソースツールとSIFTワークステーションの高度な使用法
    • 国家が関与する敵対者、組織犯罪、ハクティビストなどの高度な敵に対抗するためのハンティング・レスポンステクニック
    • 侵害を迅速に特定するためのスレットハンティングテクニック
    • 迅速なインシデントレスポンス分析と侵害評価手法
    • インシデントレスポンスと侵入フォレンジックの手法
    • リモート環境を含むエンタープライズインシデントレスポンスシステム分析
    • Windowsライブインシデントレスポンスとトリアージデータのスケーリングコレクション
    • PowerShellやWMIなどを含む「Living of the Land」攻撃の調査と対策
    • インシデントレスポンス・スレットハンティング中のメモリ解析
    • メモリ解析のスキルをEDRプラットフォームに移行する手法
    • Windowsエンタープライズ認証情報の侵害と保護に関する詳細な手順
    • ラテラルムーブメント(水平展開)の検知と分析手法
    • 迅速かつ詳細なタイムラインの作成と分析
    • スレットハンティングとインシデントレスポンスのためのボリュームシャドウコピーのエクスプロイテーション
    • アンチフォレンジックと隠蔽手法の検知
    • 未知のマルウェアの発見手法
    • スレットインテリジェンスの開発、侵害の指標、およびその使用方法
    • サイバーキルチェーン戦略
    • 侵害事例に調査・対応するための段階的な戦術と手順


      Laptop Requirements 

      このコースでは、適切に構成されたシステムが必要です。 以下の記載は最小の必須要件です。 これらの要件を満たさない場合は、演習をうまく実行できない可能性があります。指定されたすべての要件を満たすシステムを使用することを強くお勧めします。

      また、受講前にシステムのバックアップを取っておくことをお勧めします。 演習のためのツール類をインストールすることによって、一部のシステムの動作に支障をきたす可能性があります。いずれの場合もSANSではデータの破損や読み書きに関して責任をとることはできませんので、重要なデータが格納されているPCでの演習はお控えください。

      MANDATORY FOR508 SYSTEM HARDWARE REQUIREMENTS:

      • CPU:Intel i5/i7(第4世代以降) x64 2.0+ GHzプロセッサ以上(64bit必須)
      • 利用するノートPCのホストOSおよび搭載されているCPUが64bitの動作をサポートしていることを確認してください。使用するゲストOSは64bit版のため、サポート外だと演習が一切行えません。VMwareはWindows、Linux用に、ご利用になるノートPCの環境が64bitのゲストOSを動作させることができるかどうか確認するフリーツールを提供しています。また、こちらのページで、CPUとOSが64bitをサポートしているか確認する方法が説明されていますので参考にしてください。Macユーザーの方は、サポートページをご確認ください。
      • 「Intel-VT」などの仮想化テクノロジーが利用できるようBIOS設定が変更できること

        変更が必要な場合に備えて、パスワードで保護されているBIOSにアクセスできることを必ず確認してください。

      • RAM:16GB以上(16GB以上のRAMが必須最小)
      • USB:3.0ポート必須(Type Cの場合は、Type Aへの変換アダプタも必要です) 一部のエンドポイント保護ソフトウェアは、USBデバイスの使用を妨げます。受講前にUSBドライブでシステムをテストして、コースデータをロードできることを確認してください。
      • HDD/SSD:300GB以上の空き容量 エビデンスファイルのダウンロードに150GB程度利用します。これらのデータは外付けディスクに保存することも可能です。
      • ローカルアドミニストレーター権限 – 絶対的に必要です!

      MANDATORY FOR508 HOST OPERATING SYSTEM REQUIREMENTS:

      • ホストOS:Windows 10 Pro以上、Mac OS 10.15以上で、VMware(VMware Workstation 15.5、VMware Fusion 11.5またはVMware Player 15.5)をインストールして実行できること
      • 注:M1プロセッサのMacは、現時点では必要な仮想化を行うことができないため、このコースには使用できません。
      • すべてのパッチを適用し、ドライバ等も最新の状態で、最新のUSB3.0が利用できること


        受講前に以下のソフトウェアをインストールしておいてください:

        1. 事前にVMware製品をダウンロードしてインストールしてください。VMware Workstation 15.5VMware Fusion 11.5VMware Workstation Player 15.5以降のバージョンを選択します。VMware Workstation、VMware Fusionのライセンスを持っていなくても、30日間はフリートライアル期間として利用することができます。VMwareウェブサイトに登録すれば、期限付きのシリアルナンバーが送られてきます。
        2. ホストOSに7Zip(Windows OS)、Keka(Mac OS)をインストールしておいてください。


        その他ラップトップの設定要件について質問がある場合は、laptop_prep@sans.orgにお問い合わせください。

        Who Should Attend

        • インシデントレスポンスチームの一員で、APT組織や先進的な攻撃者からの複雑なインシデントや侵入被害に対応するため、検知、調査、侵害されたシステムの修復・復旧する一連の方法を知る必要がある方
        • 脅威をより効果的に探索したり、攻撃に対処するためのスキルをより深く学びたいスレットハンター
        • アラートに関する理解を深め、イベントのトリアージに必要なスキルを構築し、EDR機能を十分に活用しようとしているSOCアナリスト
        • デジタルフォレンジックアナリストの経験者で、ファイルシステムやメモリのフォレンジック、タイムライン解析、インシデントレスポンス戦術、APT攻撃に特化した高度な侵入調査などの理解を深め、対応能力を身につけたい方
        • データ侵害や侵入のインシデントに対応する情報セキュリティ担当者
        • 政府機関や法執行機関などにおいて捜査等に従事しており、先進的な侵入の調査やインシデントレスポンスをマスターして、従来のホストベースのフォレンジックよりも高度な捜査能力を身につけたい方
        • レッドチームメンバー、ペネトレーションテスター、エクスプロイト開発者で、行動がシステムによって検知される原理や事例がどのようなものかを知り、それらを回避する方法を理解したい方。本コースには、エクスプロイトの実施や実施後の操作手順と関連して、リモートシステムのフォレンジックとデータ収集技術も含まれています。
        • FOR500とSEC504を既に受講済みで、更なる技術力の向上を望む方

        What You Will Receive 

        • SIFTワークステーション
          • このコースでは、SIFTワークステーションを広範囲に使用して、インシデントレスポンダーとフォレンジックアナリストに高度な攻撃への対応と調査の方法を教えます。
          • SIFTワークステーションには、何百もの無料のオープンソースツールが含まれており、最新のフォレンジック・インシデントレスポンスの商用対応ツールスイートと簡単にマッチングできます。
          • 仮想マシンは、実践的なクラスの演習の多用します。
          • Ubuntu Linux LTSベース
          • 64ビットベースシステム
          • メモリ使用率の向上
          • 自動DFIRパッケージの更新とカスタマイズ
          • 最新のフォレンジックツールとテクニック
          • フォレンジックに取り組む準備ができているVMwareアプライアンス
          • LinuxとWindows間の互換性
          • ファイルシステムサポートの拡張(NTFS、HFS、EXFATなど)。
        • F-Response Enterprise(エンドポイントコレクション機能)
          • インシデントレスポンダーがリモートシステムとリモートコンピューターの物理メモリにネットワーク経由でアクセスできるようにします。
          • インシデントレスポンスまたはフォレンジックツールに、組織全体で使用できる機能を提供します。
          • 侵入調査やデータ侵害のインシデント対応状況に最適です。
          • リモートシステムへの展開可能なエージェント
          • SIFTワークステーション互換
          • ベンダー中立 - ほぼすべてのツールで動作します。
          • 同時検査数 = 無制限
          • 同時に展開されるエージェントの数 = 無制限
          • 6か月のライセンスにより、F-Response Enterpriseは、職場/自宅の環境で引き続き使用できます。
        • 以下を含む電子ダウンロードパッケージ
          • APTの事例イメージ、メモリキャプチャ、SIFT Workstation 3、ツール、ドキュメント
          • SANS DFIR APT事例のデータ版演習ワークブック
          • 演習教材は250ページ以上あり、詳しいインシデント対応手順と例が記載されています。
        • ツールの使用を支援するためのSANS DFIRチートシート

        FOR508 Incident Response and Threat Hunting Training Will Prepare Your Team To:

          • さまざまな攻撃者を効果的に捜し出し、検出し、封じ込め、インシデントを修正するために必要なツール、テクニック、および手順を習得し習得します。
          • 組織環境内の複数のWindowsシステムにわたって、メモリ内に潜む未知、活動中、休止中のカスタムマルウェアを検出し、追跡します。
          • PowerShellやF-Response EnterpriseとSIFT Workstationを使用して、何百ものシステムに対して同時にインシデントレスポンスを実行します。
          • メモリフォレンジック、レジストリ解析や、残されたネットワーク接続を介して、コマンドアンドコントロール(C2)チャネルに送信されるマルウェアビーコンを特定し、追跡します。
          • 手がかりと最初の攻撃メカニズムを特定して侵害がどのように発生したかを特定します。
          • PowerShellやWMIの悪意ある使用方法を利用した「living of the land」テクニックを特定します。
          • ネットワーク内で攻撃者の隠れ場所を維持するために行われる、ユーティリティウェアとともにタイムスタンプを隠蔽したマルウェアを用いた高度なアンチフォレンジック技術を突き止めます。
          • SIFT Workstationのメモリ解析、インシデントレスポンス、脅威探索ツールを使用して、隠蔽プロセス、マルウェア、攻撃者のコマンドライン、ルートキット、ネットワーク接続などを検出します。
          • 詳細なタイムライン解析とスーパータイムライン解析によって、解析しているシステム上のユーザと攻撃者の活動を秒単位で追跡します。
          • ボリュームシャドウコピーと復元ポイントの解析により、アンチフォレンジック技術を使用して消去されたデータを回復します。
          • エンドポイント間での水平方向の動きとピボットを特定し、攻撃者が検出されずにシステムからシステムへと移行する様子を示します。
          • ロックされた環境でも、攻撃者がドメイン管理者権限を含む正当な認証情報を取得する方法を理解します。
          • 攻撃者が重要なデータを収集し、それらを外部収集ポイントに移動したときのデータの動きを追跡します。
          • 組織のネットワークから機密データを窃取するためにAPT攻撃者によって使用されるアーカイブおよび.rarファイルを収集・解析します。
          • 収集したデータを使用して、組織全体にわたって効果的な修復を実行します。

          Hands-on Advanced Persistent Threat Enterprise Incident Response and Threat Hunting Lab

          スレットハンティング・インシデントレスポンスコミュニティで耳にする最大の不満の1つは、ほとんどの実際の侵入データは機密性が高すぎて共有できないといった、現実的な侵入データの欠如です。

          FOR508のコース開発者は、APT攻撃に日常的に対抗するレスポンダーたちの経験に基づいて、現実的なシナリオを作成しました。彼らは、シナリオを作成するために使用された標的型攻撃「スクリプト」のレビューとガイドを支援しました。その結果、複数のエンタープライズシステムにわたる非常に豊富で現実的な攻撃シナリオが実現しました。このAPT攻撃ラボは、1週間のトレーニングの基礎となります。ネットワークは、標準のコンプライアンスチェックリストを使用して、標準の「保護された」エンタープライズネットワークを模倣するように設定されました。

          • 連邦情報セキュリティ管理法ガイドラインに従って完全な監査が有効
          • Windowsドメインコントローラー(DC)のセットアップと構成:DCは、実際のエンタープライズネットワークで見られるものと同様に堅ろう化
          • Office、Adobe、Skype、Tweetdeck、Email、Dropbox、Firefox、Chromeなど、実際のソフトウェアがインストール・利用されているシステム
          • 完全にパッチが当たったシステム(パッチは自動的にインストール)EDRエージェン
          • 国防総省のホストベースのセキュリティシステムに基づくエンタープライズA/Vとオンスキャン機能
            • エンドポイントプロテクションソフトウェア - アンチウィルス、アンチスパイウェア、セーフサーフィン、アンチスパム、デバイス制御、オンサイト管理、ホストベースの侵入防止システム(HIPS)
          • ファイアウォールは、受信ポート25と送信ポート25、80、443のみを許可

          この演習とチャレンジは、ホストシステム、システムメモリ、休止状態/ページファイルなどにまたがり、実際の敵をトレースします。

          • Phase 1 - 被害ゼロの侵害とマルウェアC2ビーコンのインストール
          • Phase 2 - 権限昇格、他のシステムへの水平移動、マルウェアユーティリティのダウンロード、追加のビーコンのインストール、ドメイン管理者の認証情報の取得
          • Phase 3 - 知的財産の検索、ネットワークのプロファイル、電子メールのダンプ、エンタープライズハッシュのダンプ
          • Phase 4 - データを収集と抽出、ステージングシステムへのコピー、 .rarと複雑なパスフレーズを使用したデータのアーカイブ
          • Phase 5 - ステージングサーバから.rarファイルを抽出し、サーバのクリーンアップを実行

          Course Syllabus

          FOR508.1: Advanced Incident Response & Threat Hunting

          Overview

          あなたを標的にしている攻撃者に対して利点を得る方法があります。それは、正しい考えや何が効果的であるかを知ることから始まります。

          インシデントレスポンダーは最新のツールを活用して、組織内のスキャン技術やメモリ解析技術などを駆使しながら侵害を検知し、敵を追跡して封じ込め、発生したインシデントを修復しなければなりません。そのため、インシデントレスポンスとフォレンジックのアナリストは、調査の範囲を通常の単一システムから1,000もしくはそれ以上に拡大しなければなりません。何千ものシステムを徘徊するAPT攻撃集団や犯罪組織による標的型攻撃を追跡するため、組織内スキャンは今や必須要件になっています。これは、フォレンジック調査の手順でも一般的に言われている「ハードドライブを抜く」ということでは分からない情報を引き出すものですが、敵に検知された事実が伝わり、すぐに機密情報を盗まれ脱出されてしまいます。

           このコースではF-Response Enterprise Editionの6ヶ月ライセンスを受け取り、ワークステーションまたはSIFTワークステーションを使用して数百または数千のシステムに接続してスクリプトを実行することができます。この機能は、新しいインシデントレスポンス技術のベンチマーク、利用促進、実証に使用されます。これにより、レスポンダーは組織全体のネットワークの侵害指標を探すことができます。

          Exercises
          • SIFT Workstation オリエンテーション
          • リモートエンドポイントデータコレクションへのアクセス
          • 防御回避手法 - マルウェアの防御回避とその検知
          • コアWindowsプロセスの理解
          • 永続性 – マルウェアの永続性の検知と分析
          • 悪意のあるWMIイベントコンシューマの発見と分析


          Topics

          • 実際のインシデント対応戦略
            • 準備:侵入に対して適切な対応をするためにインシデントレスポンスチームが必要とする主要なツール、技法、および手順
            • 識別/スコーピング:インシデントを適切にスコーピングと企業内の侵入を受けたすべてのシステムの検出
            • 封じ込め/インテリジェンス開発:スレットインテリジェンスを開発するための攻撃者のアクセスの制限、監視、学習
            • 根絶/修復:現在のインシデントを阻止するために必要な重要なステップの決定と実行
            • 復旧:類似の攻撃が再度発生した際に備えたスレットインテリジェンスの記録
            • 「場当たり」的対応の回避:即時根絶を行うには適切なインシデントの範囲指定と封じ込めなしには実現しない
          • スレットハンティング
            • ハンティングと受動対応
            • インテリジェンス主導のインシデント対応
            • 継続的なインシデント対応/脅威のスレットハンティングの構築
            • フォレンジック分析とスレットハンティング
            • スレットハンティングチームの役割
            • ATT&CK-MITREの対抗戦術、技術、共通知識(ATT&CK™)
          • 企業におけるスレットハンティング
            • 侵害されたシステムの特定
            • 活動中、休止中のマルウェアの発見
            • デジタル署名されたマルウェア
            • マルウェアの特徴
            • 一般的な隠蔽のメカニズム
            • 正常を理解して悪を見つける
            • 一般的なWindowsサービスとプロセスについて
            • svchost.exeの悪用

          FOR508.2: Intrusion Analysis


          Overview

          攻撃者はいたるところに痕跡を残します。最高のハンターの秘密を学んでください。

          サイバーディフェンダーには、ネットワーク内の敵の活動を特定、捜索、追跡するための様々なツール類が用意されています。各攻撃者の行動は対応するアーティファクトとして証跡(フットプリント)が残されており、予測可能な攻撃パターンに対して調査を集中することが各チームメンバーに求められます。一例として、ある時点で、攻撃者はその目的を達成するためにコードを実行する必要があります。このアクティビティは、アプリケーション実行アーティファクトによって識別できます。攻撃者はコードを実行するために1つまたは複数のアカウントも必要となります。したがって、アカウントの監査は悪意のある操作を識別する強力な手段となります。さらに、攻撃者はネットワーク全体に移動する手段も必要とするため、それによって残される証跡を探すテクニックにも触れます。このセクションでは、一般的な攻撃者のスパイ活動の技術について説明し、組織内の悪意のあるアクティビティを識別するために使用できる様々なデータソースとフォレンジックツールについて解説します。

          Exercises
          • ShimcacheとAmcacheを利用して実行の痕跡をハント・検知する
          • メモリと未割り当て領域(unallocated space)からプリフェッチを特定・抽出する
          • イベントログの抽出・分析から認証情報の乱用を発見する
          • イベントログ分析を行い水平展開を追跡する
          • WMIとPowerShellの不正使用をハントする
          Topics

          • 正当な資格情報の盗用と利用
            • Pass the Hash
            • Mimikatzを使用したシングルサインオン(SSO)ダンプ
            • トークンの盗用
            • キャッシュされたクレデンシャル
            • LSAシークレット
            • Kerberos攻撃
            • NTDS.DITの盗難
          • 実行痕跡の高度な証拠
            • プロセスの実行によって過剰に処理される攻撃TTP(Tactics、Technique、Procedures)
            • プリフェッチのリカバリーと分析
            • アプリケーション互換性キャッシュ(Shimcache)
            • Aamcacheレジストリ検査
          • 水平移動に関する攻撃TTP(Tactics、Technique、Procedures)
            • クレデンシャル技術の侵害
            • リモートデスクトップサービスの悪用
            • Windows管理者による不正使用の共有
            • PsExecの利用
            • Windowsリモート管理ツールのテクニック
            • PowerShellリモート処理/ WMICハッキング
            • 脆弱性の悪用
          • インシデントレスポンダー・ハンターのためのログ分析
            • プロファイリングアカウントの使用とログオン
            • 水平展開の追跡とハンティング
            • 疑わしいサービスの特定
            • 不正アプリケーションのインストール検知
            • マルウェアの実行とプロセス追跡の発見
            • コマンドラインとスクリプトのキャプチャ
            • PowerShellのトランスクリプトとスクリプトブロックのロギング
            • PowerShellスクリプトの難読化
            • WMIアクティビティログ
            • アンチフォレンジックとイベントログの消去

          FOR508.3: Memory Forensics in Incident Response & Threat Hunting


          Overview

          侵入している間にメモリ解析を行うと、不正行為が行われているように感じることがあります。アクティブなマルウェアを見つけることは簡単なことではありません。

          高度な攻撃を検知することは多くのインシデントレスポンスチームにとって最大の関心事です。メモリフォレンジックは、わずか数年の間に格段の進歩を遂げ、APT攻撃グループが使用するワーム、ルートキット、PowerShell、高度なマルウェアの検知率も高くなってきています。この分野は、長らくWindows内部に精通したエキスパートたちの独壇場でしたが、現在では最新のツールによる優れたインタフェースとドキュメント、そして組み込みのヒューリスティックエンジンが改善され、誰でも実行できるように活用の場が広がりました。このセクションでは、最新のフリーツールを紹介し、メモリフォレンジック分野の基礎を固めます。加えて、インシデントレスポンスとフォレンジックの武器となる先進的な技術を身につけ、コアスキルを構築します。

          Exercises
          • F-Response Enterpriseを使用したリモートエンドポイントインシデントレスポンス、ハンティング、分析
          • F-Response Enterpriseを使用したリモートエンドポイントメモリ検査
          • KAPEによるトリアージイメージの作成
          • エンタープライズ環境にある複数システムのメモリから、未知のカスタムマルウェア(活動中/休止中)を検出する
          • マルウェアが攻撃者とコマンド&コントロール(C2)チャネルの通信をするために利用する、一般ポートのAPTビーコンを探す
          • メモリ上の文字列検索やバッファ履歴から残っているコマンドラインを探す
          • ベースラインシステムに対して侵害されたシステムメモリを比較する
          • コードインジェクションとルートキットを含む高度なマルウェア隠蔽手法を特定する
          • 分析を自動化するための侵害インジケータの採用
          • マルウェア感染したシステムのメモリイメージを分析する
            • Stuxnet
            • TDL3/ TDSS
            • Cozyduke RAT
            • Rundll32
            • Zeus/Zbot
            • Conficker
            • Sobig
            • StormWorm Rootkit
            • Black Energy Rootkit
            • WMI and PowerShell
            • Cobalt Strike Beacons
            • Custom APT command and control malware
          Topics

          • リモートおよびエンタープライズ・インシデント・レスポンス
            • エンタープライズでのリモートエンドポイントアクセス
            • RemoteEndpointホストベースの解析
            • スケーラブルなホストベースの解析(1人のアナリストが1,000のシステムを調査)およびデータスタッキング
            • リモートメモリ解析
          • トリアージ、エンドポイントディテクション・レスポンス(EDR)
            • エンドポイントトリアージコレクション
            • EDRの機能と課題
            • EDRとメモリフォレンジック
          • メモリ獲得
            • Windows 32および64ビットシステムからのシステムメモリの取得
            • ハイバネーションとページファイルメモリの抽出と変換
            • 仮想マシンのメモリ獲得
            • Windows10でのメモリの変更点
            • Windows10仮想セキュアモード
          • レスポンスとハンティングのためのメモリフォレンジック分析プロセス
            • 不正なプロセスの特定
            • プロセスDLLとハンドルの解析
            • ネットワークアーティファクトの確認
            • コードインジェクションの証拠探し
            • ルートキットの兆候確認
            • 疑わしいプロセスとドライバの入手
          • メモリフォレンジックスの検査
            • ライブメモリフォレンジック
            • ボラティリティを備えた高度なメモリ解析
            • プロセスツリー解析によるWebshellの検出
            • メモリ内でのコードインジェクション、マルウェア、ルートキットのハンティング
            • WMIとPowerShellプロセス
            • 型指定された攻撃者用コマンドラインの抽出
            • Windowsサービスの調査
            • 比較ベースラインシステムを使用したマルウェアのハンティング
            • RAMからのキャッシュファイルの検索とダンプ
          • メモリ解析ツール
            • Volatility
            • Rekall & Google Rapid Response
            • Comae Windows Memory Toolkit

          FOR508.4: Timeline Analysis


          Overview

          タイムライン解析は、デジタルフォレンジック、スレットハンティング、インシデントレスポンスなどへの対応方法に変革をもたらします。

          タイムライン解析を知れば、今までのデジタルフォレンジックとインシデントレスポンスのやり方が劇的に変わるでしょう。スパイ活動に対するタイムライン解析の先駆者から直接学ぶことで、その高度な解析技術を知ることができます。テンポラリのデータは、コンピュータシステムのありとあらゆる所に存在しています。ログファイル、ネットワークデータ、レジストリ、インターネット履歴ファイルなども、そのような一時ファイルの一例です。ファイルシステムにはMACタイム(モディファイ/アクセス/クリエイト)がその全てのデータに記録されており、それらを相関分析することで侵害の究明に一歩近づくことができます。2001年にRob Leeがこの分析手法を開拓して以来、タイムライン解析は複雑な事案を解決する強力な調査手法として使用されてきました。新しいタイムライン解析のフレームワークでは、いくつもの時間ベースの解析を同時に処理することができます。これにより解析に費やす時間が1日から数分に短縮することができ、強力な調査手法としての立場を不動のものとしています。

          このセクションでは、複雑なインシデントとフォレンジック事例においてタイムラインを作成し、それぞれ解析する2つの手法について順に見ていきます。演習では、タイムラインの作成方法だけでなく、受講者が実際に経験した事例などを題材として、より効果的な分析につなげるための方法を紹介します。

          Topics

          • タイムライン解析の概要
            • タイムライン解析による利点
            • 前提知識
            • Pivot Pointの検出
            • タイムラインコンテキストのヒント
            • タイムライン解析のプロセス
          • メモリ解析タイムラインの作成
            • メモリのタイムライン
          • ファイルシステムタイムラインの作成と分析
            • ファイルシステム別MACBの意味
            • Windowsタイムルール(ファイルコピーとファイル移動)
            • Sleuthkitとflsを使用したファイルシステムタイムラインの作成
            • mactimeツールを使用したボディファイルの分析とフィルタリング
          • スーパータイムラインの作成と分析
            • スーパータイムラインアーティファクトルール
            • プログラムの実行、ファイルの知識、ファイルの開き方、ファイルの削除
            • log2timeline / Plasoによるタイムラインの作成
            • log2timeline入力モジュール
            • log2timeline出力モジュール
            • psortを使用したスーパータイムラインのフィルタリング
            • ターゲットスーパータイムラインの作成
            • 自動化されたスーパータイムラインの作成
            • スーパータイムライン解析
            • ボリュームシャドウコピーのタイムライン

          FOR508.5: Incident Response & Hunting Across the Enterprise | Advanced Adversary & Anti-Forensics Detection


          Overview

          先進的な攻撃は優れていますが、私たちはその上に立つ必要があります。

          優秀な敵に対して、私たちは彼らを上回る能力を身に付けなければなりません。 長年にわたり、多くのインシデントレスポンダーは侵害の痕跡に関する指標(IOC)を使用せず、効率的ではない方法でマルウェアを検知しようとしていました。一方で敵であるインテリジェンスたちは、システムを侵害するために結束を強めています。この傾向はAPTグループの攻撃では特に顕著です。 本セクションでは、ファーストレスポンダーに必要なテクニックである、マルウェアの検知やシステムに隠れているどんな小さな情報でもフォレンジックの証拠として抽出するテクニックについてデモンストレーションを行います。その後、システムに隠れ込もうとする悪意あるマルウェアを見逃している可能性がないか、デモンストレーションしたテクニックについて議論していきます。

          Exercises
          • 活動中/休止中のマルウェアを追跡し、エンタープライズ環境全体から未知のマルウェアを探す
          • サイバースレットインテリジェンス - インディケータの作成と検証
          • 標的にされた環境のドメインアドミン権限をどのようにAPTグループが奪取したのか把握する
          Topics
          • サイバースレットインテリジェンス
            • サイバースレットインテリジェンスの重要性
            • 「キルチェーン」を理解する
            • インシデント対応およびスレットハンティング時のスレットインテリジェンスの作成と使用
            • 侵害インディケータを作成する
            • インシデント対応チームのライフサイクル概要
          • マルウェアとアンチフォレンジック検出
            • NTFSファイルシステム分析
            • マスターファイルテーブル(MFT)の重要領域
            • NTFSシステムファイル
            • NTFSメタデータ属性($ Standard_Information、$ Filename、$ Data)
            • $ StdInfoおよび$ Filenameに対するWindowsタイムスタンプの規則
            • NTFSタイムスタンプ解析による検出
            • 常駐ファイルと非常駐ファイル
            • 代替データストリームの非表示データ
            • ディレクトリ一覧と$ I30ファイルを使用した、ワイプ/削除されたファイルの検索
            • ファイルシステムフライトレコーダ:トランザクションロギングと$ Logfileおよび$ UsnJrnl
            • NTFSファイルシステムからデータが削除された時の挙動
          • アンチフォレンジック検出方法論
            • MFTの異常
            • タイムライン異常
            • 削除されたファイル
            • 削除されたレジストリキー
            • ファイル消去
            • タイムスタンプの調整
          • アクティブなマルウェアを使用しない侵害ホストの特定
            • 迅速なデータトリアージ分析
            • サイバースレットインテリジェンスと侵害状況検索の指標
            • 持続性の証拠
            • スーパータイムラインのテスト
            • パッキング/エントロピー/実行可能異常/密度チェック
            • システムログ
            • メモリ分析
            • マルウェアの識別

          FOR508.6: The APT Threat Group Incident Response Challenge


          Overview

          APTのような攻撃のシミュレーションを行い、本コースで学んだデジタルフォレンジック、ネットワークフォレンジックなどの知識を総動員して学習成果を確認します。シミュレーション環境では、複数のWindowsで構成される組織環境を模したシステムが侵害されているという状況が付与されます。受講生は、最初にどのようにシステムが侵害されたかを検出し、続いて他のシステムへ侵入した形跡を見つけ、最終的にデータ抽出によって知的財産が盗まれたことを証明するという、実践形式の訓練を通じて、その能力を確認します。このシナリオは、実際に国家が関与する侵害事案や金融犯罪組織、ハクティビストグループに至るまでの高度な脅威との戦いに数十年の経験を持つインストラクター陣によってまとめられたものです。


          Topics

          • 侵入フォレンジックチャレンジでは各インシデントレスポンスチームはネットワーク内の複数のシステムで発生したインシデントの解析を行います。
          • チャレンジ中、各インシデントレスポンスチームは組織内での実際の侵害と同様に、以下にリストされているさまざまなカテゴリの重要な質問に答え、重大な問題に対処するよう求められます。

          識別とスコープ

          1. APTグループはいつ、どのようにしてネットワークを侵害したか

          2. 侵入された全システムのIPアドレスと侵入特有の痕跡を一覧化

          3. 攻撃者はいつ、どのようにして最初の水平方向の動きを各システムに対して行ったか

          封じ込めとスレットインテリジェンスの収集


          4. 攻撃者はいつ、どのようにしてドメイン管理者の資格情報を入手したか

          5. 侵入後、攻撃者は各システムで何を探したか

          6. エグゼクティブアカウントに紐付く電子メールから受けた損害の評価

          7. 盗まれたものの特定: 抽出された.rarファイルまたはその他のアーカイブを復元し、暗号化パスワードを見つけ、内容を抽出して抽出データを検証する。

          8. 攻撃に使用されたすべてのマルウェアを収集して一覧化

          9. 攻撃者のトレードクラフトを表すホストベース・ネットワークベースの侵害指標とセキュリティインテリジェンスを開発して提示

          修復と復旧

          10. どのレベルのアカウント侵害が発生したかの判断。修復中にフルパスワードリセットが必要か

          11. インシデント中に発見された攻撃者のテクニックとツールに基づくインシデントの修復と復旧に向けた推奨手順は何か

          1. システムを再構築する必要があるか
          2. どのIPアドレスをブロックする必要があるか
          3. これらの攻撃者が戻ってきた場合の対処方法
          4. ネットワークでこれらの侵入者をもう一度検出するために、どのような提案をするか