FORENSICS 572

Advanced Network Forensics and Analysis
 

日程 2017年10月23日(月)~28日(土)(6日間)
講義時間 9:30 ~ 17:30
会場 秋葉原UDX 6階 MAP
講師 Philip Hagen(SANS認定インストラクター)>> 講師プロフィール
定員 40名  英語教材・同時通訳
CPEポイント 36 point
受講料 通常価格:610,000円(税抜)
オプション GIAC試験 82,500円(税抜)
OnDemand 73,000円(税抜)
NetWars Continuous 145,000円(税抜)
10月26日~27日開催 Core NetWars Experience 無料
開催終了

受講に必要なPC環境

演習で使用するノートPCをご持参下さい。受講に必要なPC環境についてご確認ください。

FOR572 PC設定詳細

重要:下記の環境で設定されたシステムをお持ちください!!

VMware仮想化製品をインストールして実行できるコアオペレーティングシステムとして、64ビットバージョンのWindows、Mac OS X、またはLinuxを使用できます。

64ビットのゲスト仮想マシンをノートPCで実行するため、CPUとオペレーティングシステムが64ビットをサポートしていることが前提です。 VMwareはWindowsおよびLinux用の無料ツールを提供しており、ホストが64ビットゲスト仮想マシンをサポートしているかを検出できます。 さらにトラブルシューティングを行うために、ここにリンクされている記事では、WindowsユーザがCPUとOSの機能について詳細を判断するための手順についても説明しています。 Apple OS Xユーザの場合は、Appleのサポートページにて64ビット機能を判断してください。

クラス演習の前までに、VMware Workstation 11VMware Fusion 7、またはVMware Player Plus 7以上のバージョンをシステムにダウンロードし、インストールしてください。 ライセンスされたVMware WorkstationまたはFusionのコピーを所有していない場合は、VMwareから無料の30日間試用版をダウンロードできます。 試用版をWebサイトで登録すると、VMwareから期間限定のシリアル番号が送信されます。 VMware Player Plusは無償でダウンロードでき、商用ライセンスは不要です。 その他の仮想化ソフトウェアはラボ環境ではサポートされておらず、提供された仮想マシンを正常に実行できない場合があります。

必須のFOR572システムハードウェア要件
  • CPU:このクラスでは、64ビットIntel x64 2.0+ GHzプロセッサ以上のシステムが必須です。
    (重要 - お読みください:64ビットシステムプロセッサは必須です!授業に入る前にVMwareソフトウェアが稼働できる事を確認してください。 BIOS設定によっては、仮想化を許可するのに特別なセッティング(「VT-x」または/もしくは「メモリ保護を実行しない」など)が必要です。授業中に変更が必要な場合、BIOSへの管理アクセス権も必要になります。)
  • RAM:最小8GBのRAM
  • ホストオペレーティングシステム:
    VMware仮想化製品(VMware WorkstationVMware Fusion、またはVMware Player)をインストールして実行できる、完全にパッチが適用され、更新されたWindows(7以上)またはApple OS X(10.10以上)。
    注意:最新のUSB 3.0デバイスを利用するために、適切なドライバとパッチがインストールされていることを確認いただき、授業に先立ちホストオペレーティングシステムを完全に更新する必要があります。 Linuxホストを使用している受講生には、さまざまなLinuxディストリビューションがこのプラットフォームでの演習のテストが行えないことが報告されています。Linuxホストを使用する方は、適切なカーネルモジュールまたはFUSEモジュールを使用してExFATパーティションにアクセスできる必要があります。
  • ネットワーキング: 無線 802.11 b、g、もしくはn
  • ハードウェア:
    • USB 2.0以上のポート(S)(注:エンドポイント保護ソフトウェアによっては、USBデバイスを使用できない場合があります。クラスを開始する前にUSBドライブで接続確認し、コースデータをロードできるようにしてください)。
    • 最低200GB以上のホストシステムハードドライブ
    • システムのハードドライブに、最低80GB以上の空き容量が必要(注:SIFT Workstation VMとシステムに追加されるエビデンスのため、空き容量が必要です)
必須のFOR572システムソフトウェア要件(クラスの前に以下をインストールしてください)
  • 受講生は、ホストオペレーティングシステムとノートPCのBIOS(該当する場合)のローカル管理者アクセスを持つことが必要です。 64ビットオペレーティングシステムをVMwareゲストを実行する前に、BIOSの仮想化設定を工場出荷時のデフォルトから変更する必要がある場合があります。
  • VMware Workstation 11VMware Fusion 7、またはVMware Player 7をインストールしてください(上位バージョンでも構いません)。
  • 解凍ソフト7Zip(Windows、OS X、Linux)またはKeka (OS X)をダウンロードし、インストールしてください。
任意項目
  • 自身の使いやすいフォレンジックツール(Maltego、NetWitnessなど)をお持ちください。 コースの最終課題については、商用を含め、すべてのフォレンジックツールが利用できます。ドングルやライセンスされたソフトウェアなどがあれば、自由にご使用ください。
  • SANSは個人的な影響の安全性については責任を負いませんが、ノートPCロックの持参を検討することをお勧めします。
    ノートPCの仕様に関するその他のご質問は、laptop_prep@sans.orgまでお問い合わせください。
 

コース概要

システムを基にした、あなたのフォレンジック知識をネットワークに活かしましょう。ネットワークエビデンスを調査に組み込むことで、より良い発見を提供し、仕事がはかどることでしょう。

ネットワークコンポーネントを含まないフォレンジック調査を行うことは非常にまれです。エンドポイントフォレンジックはこの業種において常にクリティカルかつ基礎的なスキルです。しかしネットワーク通信を見落とすことは、犯罪の防犯カメラ映像を無視するようなものです。侵入事件、データ盗難、従業員の悪用、攻撃者の発見などの場合に関して、ネットワークは決定的な証明に役立ちます。エビデンスは、目的を説明する必要のある証拠を提供し、数か月以上活動している攻撃者を暴きます。そして、実際に発生した犯罪を明確に証明することに役立てられます。

FOR572:「Advanced Network Forensics and Analysis」コースは、効率的で効果的な事後インシデント対応調査のために必要な最もクリティカルなスキルを網羅しています。 我々は、システムやデバイスなどのストレージメディア上の残存データから過去に発生、または引き続き発生している一時的な通信まで、フォレンジックへの考え方を広げる為、必要な知識に焦点を当てています。最も熟練した遠隔攻撃者が、検出できないような攻略行為を通してシステムを危険にさらしたとしても、そのシステムはネットワークを介して通信が行われます。 コマンド-コントロールとデータ抽出チャネルがなければ、侵入したコンピュータシステムの価値はほとんどゼロになります。

本コースには、ネットワーク上のエビデンスを調査に取り込むために必要なツール、テクノロジ、およびプロセスについて、効率的かつ効果的に説明します。この一週間であなたは、豊富なツール類と職場に戻ってからすぐ利用できる知識を身につけることができるでしょう。高レベルのNetFlow解析、低レベルレイヤーのpcap探査、補助的なネットワークログ検査など、ネットワークエビデンスのあらゆる範囲を網羅します。数ヶ月から数年の価値あるエビデンスを含む既存のインフラストラクチャデバイスを基に活用する方法と、インシデントがすでに進行中の時に新しいコレクションプラットフォームをどのように配置するかについて説明します。

あなたがお客様の現場にて対応しているコンサルタントであっても、サイバー犯罪の被害者を支援し、責任者の訴追を求める法執行機関の専門家であっても、フォレンジック実行担当者であっても、「脅威ハンター」の上位メンバーであっても、 あなたの仕事を次のレベルに引き上げるのに役立つ、実際のシナリオに基づいた演習を提供します。これまでのSANS SECカリキュラムの受講生やネットワークディフェンダーには、より多くのインシデント対応と調査責任者として、セキュリティ運用に関するこのFOR572 Advanced Network Forensics and Analysisの内容から得るものがあるでしょう。FOR408 Windows Forensic AnalysisとFOR508 Advanced Digital Forensics and Incident ResponseのSANSフォレンジック既習生は、既存の知識を活用して、毎日発生するネットワークベースの攻撃に直接適用することができます。FOR572では、ディスクイメージやメモリイメージを使用せずに、実世界の問題と同様の問題を解決していきます。

このクラスのハンズオンラボは、幅広いツールとプラットフォームをカバーしています。その中に、パケットキャプチャと分析のために長年使われているtcpdumpとWiresharkや、アーティファクト抽出のためのNetworkMinerや、nfdump、tcpxtract、tcpflowなどのオープンソースツールなどがあります。本コースに新たに追加されたツールには、SOF-ELKプラットフォーム(事前設定済みのELKスタック付きのVMwareアプライアンス)があります。この「ビッグデータ」プラットフォームには、Elasticsearchのストレージおよび検索データベース、Logstashの取り込みおよび解析ユーティリティ、そしてKibanaのグラフィカルダッシュボードインターフェイスが含まれます。カスタムSOF-ELKコンフィギュレーションファイルとともに、プラットフォームはログと NetFlow解析のための準備済のプラットフォームを提供します。フルパケット解析とその段階での捜索のために、Molochプラットフォームも使用されています。 クラス内のすべてのラボを通して、シェルスクリプト機能を使用して、数百および数千のデータレコードを簡単にリッピングする作業も行います。

FOR572は高度なコースであり、基礎の部分は初日のみになります。フォレンジックテクニックと方法論、ネットワーキング(ネットワークからユーザ向けサービスまで)、Linuxシェルユーティリティ、そしてそれらに関連するすべてのスキルを準備しておいてください。本コース内容を通して、これらのスキルは、1バイト(または1パケット)ずつ、インシデントを解き明かし、犯罪に立ち向かうのにきっと役立つでしょう。

高度なネットワークフォレンジックと解析コースのトピック:

  • ネットワークフォレンジックツール基礎:tcpdump と Wiresharkリフレッシャー
  • パケットキャプチャアプリケーションとデータ
  • ネットワークを中心としたフォレンジックプロセスの特別考慮事項
    • ネットワークエビデンスの種類とソース
    • 調査者のためのネットワークアーキテクチャの課題と機会
    • 調査OPSECとフットプリントに関する考察
  • ネットワーク プロトコル 解析
    • DNS
    • HTTP
    • FTP
    • Microsoft プロトコル
    • SMTP
  • 市販ネットワーク フォレンジック ツール
  • 自動化されたツールとライブラリ
  • NetFlow
    • 導入
    • 収集アプローチ
    • オープンソースNetFlowツール
  • ワイヤレスネットワーキング
    • ワイヤレストラフィックのキャプチャ
    • ワイヤレス運用のモード
    • ワイヤレストラフィックからの有用なフォレンジック証跡
    • 一般的な攻撃方法と検出
  • ネットワーク検査を補うためのログデータ
    • Syslog
    • Microsoft Windows Eventing
    • HTTP サーバログ
    • ファイアウォール、侵入検知 システム(IDS)と ネットワークセキュリティ監視 (NSM) プラットフォーム
    • ログの収集、アグリゲーションと解析
    • Webプロキシサーバの検査
  • 暗号化
    • 導入
    • 中間者攻撃(MITM)
    • Secure HTTP/セキュアソケットレイヤー
  • ディープパケットワーク
    • ネットワークプロトコル リバースエンジニアリング
    • ペイロードの再構築

受講対象者

  • エンドポイントシステムからネットワークに調査範囲を拡大しているインシデント対応チームのメンバーとフォレンジック担当者
  • 既に集められたエビデンスに対する新しい知識を活用して、ネットワーク環境にて攻撃者を積極的に探すハントチームメンバー
  • ハントオペレーションをサポートし、ネットワーク環境にて攻撃者を特定しようとするセキュリティオペレーションセンター(SOC)の対応者および情報セキュリティ実務者
  • 捜査および/またはインシデント対応の負荷が上がっているのネットワークディフェンダー
  • 法執行官、捜査官、ネットワークフォレンジック案件の専門家になりたい刑事
  • リスクを管理し、情報セキュリティの意味を伝え、調査チームを管理するためにネットワークフォレンジックを理解する必要がある情報セキュリティ管理者
  • 調査要件に適合するようにネットワークを積極的にハンドリングしなければならないネットワークエンジニア
  • ネットワーク調査の仕組みを学びたい情報技術の専門家
  • コンピュータフォレンジック、情報システムおよび情報セキュリティの見識を持つコンピューターネットワークの侵入と調査に関心のある方
※FOR572は、GIAC(GNFA )認定試験対象コースです。
コース開発者より

私がコンピュータとネットワークのセキュリティに関心を持ち始めた1990年代半ばに頃、別のコンピューターネットワークを「攻撃する」という考え方はサイエンスフィクションでした。 今日では、民間や行政、軍、それにインテリジェンスな組織は堅牢で統合された情報セキュリティプロセスを持っています。 フォレンジックのコミュニティ内では、我々が動的な攻撃者に直面する度に効果的で俊敏な対応を行い、進歩してきました。エンドポイントフォレンジックの演習は近い将来もデジタルフォレンジックの根本的要素としてあり続けます。なぜならそこでイベントが最終的に発生するからです。
デジタルフォレンジックの最も一時的な領域に対処するために、FOR572:Advanced Network Forensics and Analysisコースを作成しました。多くの企業は、何千ものエンドポイントの中から一握りを調べることが重要な課題であると理解できるレベルまで成長しました。さらに、ネットワークはインシデント対応と調査のための独自の媒体になっています。ネットワークからキャプチャしたデータ自体を含め、あらゆるネットワーク機器から取得した証拠を利用する力が今後の脅威への対策を成功させる重要な能力になります。低俗な "スクリプトキディ"から国家主導の戦略的なスパイ活動のような長期的な攻撃まで、ネットワークはインシデントライフサイクルを通じて利用される共通要素の1つです。 FOR572では、実際に起きたケースを基に作ったシナリオを使用して、ツールやメソッドを用いてあらゆる規模のネットワーク環境での調査方法を教えます。本コースを終える頃には貴方は職場に戻ってすぐに使える貴重な知識と、次世代の攻撃者の能力に対抗できる手段を身に着けているでしょう。
- Phil Hagen

私が初めてコンピューターセキュリティー業界に入ったころ、APT攻撃という用語はまだ知られていませんでした。しかし私は個人的に、民間や行政ネットワークから取得したテラバイト単位のデータを復元していました。ニュースになった最も大きなサイバーセキュリティの脅威は最新のワームで、無防備なシステムを媒介として、実質的な破壊というよりは妨害行為をするというものでした。ロシアン・ビジネス・ネットワークとして知られているものは当時まだ存在しませんでした。ネットワークセキュリティの監視はまだ初期段階にあり、正式な文書やベストプラクティスはほとんどなく、システム管理者向けのみでした。インターネットは拡大し続ける中、多くのシステムが相互接続され、ネットワークに対する脅威は成長し続けます。FOR572は、私たちがこのネットワークフォレンジックや調査の業界に入った頃にあれば良かったと思うようなクラスにしています。必要な時にバックグラウンドを提供するだけでなく、主に複数のデータソースを使用して徹底的な調査を実施し、犯罪者を見つける為のクラスです。私はこのコースにおいて、実際の経験と調査に基づいた、新旧の両方のトピックを網羅する最新のトレーニングが提供できると自負しています。
- Mat Oldham

  • Day 1
  • Day 2
  • Day 3
  • Day 4
  • Day 5
  • Day 6
Day 1

ネットワークフォレンジック概要

焦点:多くのネットワークフォレンジックの概念は、他のデジタルフォレンジック調査のコンセプトと似ていますが、ネットワークには特に注意が必要な異なる点があります。本日は、ネットワークベースのエビデンスへの、デジタルフォレンジックとインシデント対応についてどのように適用すればいいかを学びましょう。そして、基本的なツールに慣れるようになりましょう。

ネットワークデータは保存できますが、ネットワークから直接取得した場合に限ります。戦術的または戦略的であろうと、パケットキャプチャは非常に基本的です。ネットワークパケットをキャプチャして分析に使用される最も一般的なツールであるtcpdumpとWiresharkを再認識しましょう。しかしながら、長期間のフルパケットキャプチャはほとんどの環境ではまれであるため、ネットワーク機能を管理する様々なデバイスの証跡から、過去にネットワークでなにが起こったかを読み取ります。どのような種類のデバイスが貴重なエビデンスを提供し、どのレベルの粗さで提供できるかについて学習します。最も一般的なネットワークエビデンスの1つであるWebプロキシサーバからエビデンスを収集する流れを見ていき、プロキシから盗まれたデータを見つけて抽出することを実際に行います。

Linux SIFT仮想マシンには、特にネットワークフォレンジックツールセットが搭載されており、今週の主なツールキットとなります。

演習

  • Linux SIFT Workstationのインストールとネットワークフォレンジックツールの追加
  • tcpdump と Wireshark ハンズオン
  • 抽出されたデータのカービング

トピック

プロキシサーバ 検査
  • Webプロキシの役割
  • プロキシソリューション-市販・オープンソース
  • Squidプロキシサーバ
    • コンフィグレーション
    • ロギング
    • 自動化された解析
    • キャッシュ抽出
ネットワークフォレンジックツール基礎:tcpdumpとWireshark
  • tcpdump 再導入
    • pcap ファイルフォーマット
    • バークレーパケットフィルタ (BPF)
    • データ削減
    • 役立つコマンドラインフラグ
  • Wireshark再導入
    • ユーザインタフェース
    • ディスプレイフィルタ
    • ネットワークフォレンジック解析に有用な特徴
ネットワークエビデンス収集
  • 3つのコアタイプ:完全パケット、ログ、NetFlow
  • キャプチャデバイス:スイッチ、タップ、レイヤ7ソース、NetFlow
  • キャプチャを計画する:戦略、市販およびハンドメイドのプラットフォーム
ネットワークアーキテクチャの課題と機会
  • ネットワーク環境による課題
  • ネットワークフォレンジックに影響を与える将来のトレンド
Day 2

コアプロトコルとログ集計/分析

焦点:プロダクションネットワーク環境で使用されるプロトコルは数千種類もあります。そのうちフォレンジックの典型的なケースワークに役立つプロトコルだけでなく、所有権を得たもの、公開されていないもの、または新たなプロトコルの分析方法に役立つプロトコルについても取り上げていきます。これらのプロトコルの「典型的」な動作を学ぶことによって、不正目的で悪用されているプロトコルや攻撃目的であることを示唆できるプロトコルの異常をより迅速に特定することができます。これらの異常なプロトコルの証跡は、トラフィック分析やそのトラフィックの制御または権限を持つシステムによって作成されたログにより分析が可能です。これにより調査者はネットワークトラフィックを分析する膨大な機会を得ることができますが、通常大量のソースデータを効率的に分析するには、それを目的に設計されたツールと手段が必要です。

プロトコルの異常動作を識別するためにはプロトコルの正常な動作を知ることが重要です。よく使用されているネットワーク通信プロトコルのいくつかを見ながら、攻撃者やマルウェアの作成者によって簡単に悪用されてしまう手段・方法に焦点を当て進めていきます。

典型的なネットワーク環境で使用される膨大なプロトコルを徹底的に網羅できるコースはありませんが、どんなに新しいプロトコルでさえも必要なスキルを学び身に付ける必要があります。新しいプロトコルは常に開発されており、「学ぶスキルを身につける」能力は非常に重要であるでしょう。熟練の攻撃者も独自のプロトコルを開発しており、これについてはクラス後半でも出てきますが、これらの公開されていない開発プロトコルを正しく理解し対処することは、このセクションで得られる流れと同じようなプロセスを辿ります。

ログデータは、ネットワークフォレンジックの領域において陰の功労者の1つです。フルパケットキャプチャは完璧に見えますが、いくつかの欠点があります。総合的な収集システムをまだ導入していないもしくは導入できない組織が多くあるため、フルパケットキャプチャを入手するのは困難です。それらが使用されている場合、効果的に処理することが難しく、また数日および数週間のローリングバッファーで保持する必要のある膨大な量のデータをネットワークキャプチャシステムは素早く収集します。

ログデータを理解し、どのように調査プロセスを導くことができるか理解する事は、ネットワークフォレンジック担当者にとって重要なスキルです。 ネットワーク中心のログを調査することで、不完全もしくは存在しないネットワークキャプチャによるギャップも埋めることができます。

このセクションでは、エンドポイント端末やネットワークトランスポートデバイスの両方で利用できる様々なロギング・メカニズムについて学習します。また、複数のソースからログデータ集約し、広範なエビデンスを一箇所に統合する方法についても学習します。ログデータの量が増加すると、自動化分析ツールの考慮も必要になります。取得したログの集約と分析にSOF-ELKプラットフォームを使用することで、侵入調査における迅速かつ決定的な見識が得られます。

演習

  • HTTP プロファイリング
  • ファイアウォールとBro NSM解析
  • SOF-ELKを使用したログアグリゲーションと解析

トピック

HTTP:プロトコルとログ
  • フォレンジック評価
  • リクエスト/レスポンス解析
  • 有益な HTTP フィールド
  • アーティファクトの抽出
  • ログ フォーマット
  • 解析方法
DNS:プロトコル と ログ
  • アーキテクチャとコア機能
  • トンネリング
  • Fast Fluxおよびドメイン名生成アルゴリズム(DGA)
  • ロギング方法
  • アンプ攻撃
ファイアウォール、侵入検知 システムとネットワーク セキュリティ監視 ログ
  • ファイアウォール
    • ファイアウォールソリューション事例
    • その他の機能
    • syntaxとログのフォーマット
  • 侵入検知システム
    • ルールと署名
    • IDSおよびNSMソリューション事例
    • Bro NSM
      • 基礎とユースケース
      • ロギング
ロギングプロトコルとアグリゲーション
  • Syslog
    • 二重の役割:サーバとプロトコル
    • ソースと収集プラットフォーム
    • イベント解析
    • rsyslog コンフィグレーション
  • Microsoft Eventing
    • 履歴と能力
    • Eventing 6.0
    • アーキテクチャ
    • 解析モード
  • ログデータの収集・アグリゲーション・解析
    • アグリゲーションの利点:規模、範囲、独立の検証、効率
    • 既知の欠点と緩和
    • 包括的なログアグリゲーションプラットフォームの評価
ELK スタックとSOF-ELKプラットフォーム
  • ELKスタックの基礎、 利点と欠点
  • SOF-ELK
    • 入力
    • ログ中心のダッシュボード
Day 3

NetFlowとファイルアクセスプロトコル

焦点:一般的にNetFlowと呼ばれるネットワーク接続ロギングは、ネットワーク調査において最も重要なエビデンスソースの1つです。 多くの組織では、ストレージ要件が最小限に抑えられているため膨大なデータフローのアーカイブを保持しています。NetFlowは送信内容を取得しないため、長期保有に伴う法的問題が軽減されます。 送信内容がなくとも、NetFlowは調査を導き、攻撃前から進行中の攻撃者の動向の特徴を明らかにする優れた手段を提供します。 ターゲット環境内であろうとなかろうと、もしくはデータの流出に関係なく、攻撃者は様々なファイルアクセスプロトコルを使用してターゲットとする場所で行動します。よく使われているファイルアクセスおよび転送プロトコルを理解することにより、フォレンジック担当者は攻撃者による不正行為を迅速に特定することができます。

従来の調査により描かれる青写真からも重要な手がかりが得られますが、NetFlowデータはネットワーク通信に関する極めて重要度の高い情報をネットワークフォレンジック担当者に提供することができます。 より詳細な調査活動を推進するためにはNetFlowのエビデンスの活用方法を知ることが、情報を抽出する鍵となります。

NetFlowは、環境内の典型的な動作のベースラインを求めるのに理想的な技術であり、ベースラインから逸脱している場合は悪意ある行動である可能性があります。 Threat huntingチームもまたNetFlowを使用することで、新たに検出された疑わしいエンドポイントやトラフィックパターンと一致する事前の接続を識別することができます。

このセクションでは、代表的なNetFlowプロトコルの内容や、また一般的な収集アーキテクチャと分析方法についても学習します。 また、扱いにくいpcapファイルを分析する前に、フルパケットコレクションをNetFlowレコードに展開して、初期分析を行う方法について学びます。

FTPセッションから特定のファイルを再構築する方法を含むファイル転送プロトコルについても調べます。FTPは通常データ転送に使用されますが、そのマルチストリームの性質からプロトコル解析技術を見直すよい機会になります。

最後に、Microsoft WindowsもしくはWindowsと互換性のある環境に特有の様々なネットワークプロトコルを検証していきます。 攻撃者はターゲットの環境内で「その場所に生きる」為に、これらのプロトコルを使用することがよくあります。 既存のプロトコルや期待されたプロトコルを使用することで、攻撃者は目立つことなく隠れ、調査員にその存在と行為を知らせるかもしれないマルウェアの配備を防ぐことができます。

演習

  • SOF-ELKを用いた視覚化されたNetFlow解析
  • NetFlowによる側方運動のトラッキング
  • SMB セッションの解析と再構築

トピック

NetFlowの収集と解析
  • オリジナルのNetFlowと進化
  • NetFlow v5とv9 プロトコル
  • アーキテクチャの構成要素
  • 暗号化されたトラフィックの検査に役立つNetFlowアーティファクト
オープンソース NetFlowツール
  • オープンソースツールセットを使用したNetFlowデータの検査
    • SiLK
    • nfcapd、nfpcapdとnfdump
    • SOF-ELK:NetFlowの取得とダッシュボード
FTP
  • FTPの歴史と現在における活用
  • 現在のネットワークにおける欠点
  • キャプチャと解析
Microsoft プロトコル
  • アーキテクチャとキャプチャの位置付け
  • Exchange/Outlook
  • SMB v1・v2・v3
  • SharePointと内部Weサイト
Day 4

市販ツール、ワイヤレス、フルパケットハンティング

焦点: 市販ツールは、ネットワークフォレンジック担当者のツールキットの主力製品となります。 市販ツールが一般的に実装している役割と、また調査ワークフローとどのようにして最適に統合出来るかを検討します。 ワイヤレスネットワークの急速な普及に伴い、この技術がもたらす特有の課題に対処できるよう準備をしなければなりません。 しかしながら、検査されるプロトコルまたは分析を実行するための予算にかかわらず、フルパケットキャプチャの検証手段を持っていることが不可欠であり、そしてそれを実行するためのツールキットがあることが重要です。

フォレンジック担当者が通常、遭遇するかもしれない状況において、市販ツールには明らかな利点があります。最も一般的なのは、スケーラビリティです。 多くのオープンソースツールは、戦術的な使用もしくは小規模な使用のために設計されています。 大規模な展開や特定のニッチ機能に使用する場合でも、これらのツールは多くの調査ニーズにすぐさま対応することができます。ネットワークフォレンジック分野で市販ツールが集中する傾向にある一般的な領域を考察し、各ツールが組織要件またはクライアントの要件に提供することができる価値について検討します。

さらに、ワイヤレスネットワークの フォレンジック的な側面にも取り組んでいきます。従来の有線ネットワーク検査との類似点および相違点、また無線プロトコル分野からどのような興味深い証跡が回収できるのかについても説明します。 攻撃者がこれらの弱点をどのように攻撃に利用できるか、そして攻撃がどのように検出されるかなど、ワイヤレスにおける特有の弱点も取り上げていきます。

最後に、市販ツールを使用しなくても、フルパケットキャプチャから大規模な検証を行えるよう改善するための方法を見ていきます。オープンソースのMolochプラットフォームと、それをライブおよびフォレンジックなワークフローにてそれがどのようにして使用されているのかを見ていきます。すぐに使用できるMoloch仮想マシンを使用して、調査済みのインシデントからソースデータをロードし、そして以前キャプチャされたフルパケットデータから真実を探します。

演習

  • Network Miner
  • コマンドラインツールを使用する解析
  • Molochを使用したネットワークフォレンジック解析

トピック

SMTP
  • メールメッセージのライフサイクル
  • 適応と拡張
市販ネットワークフォレンジック
  • 商用ソリューションとオープンソースソリューションのトレードオフ
  • 一般的な商用プラットフォーム
  • クライアント環境における既存のプラットフォームとツールの使用
無線ネットワークフォレンジック
  • 有線ネットワークの解析の無線ドメインへの適用
  • デバイスの動作モード
  • キャプチャ方法論:ハードウェアとソフトウェア
  • 有益なプロトコルフィールド
  • 固有の欠点
  • 保護メカニズムに基づく典型的な攻撃の方法論
自動化されたツールとライブラリ
  • 大規模解析と繰り返し可能なワークフローを促進する一般的なツール
  • カスタムツールとソリューションに関するライブラリ
  • ツールの効果的な連鎖
Molochによる完全パケットハンティング
  • Molochの基礎とアーキテクチャ
  • 実用上の制限事項
  • セッションアウェアネス、フィルタリング、典型的なフォレンジック実用ケース
Day 5

暗号化、プロトコル リバーシング、OPSEC、インテリジェンス

焦点:一般的な技術の発達によって簡単に攻撃者になれるようになり、それらを追跡することは困難になりました。強力な暗号化方式はすぐに利用可能で、独自プロトコルを作成して利用するのも簡単です。 それでも、最も高度な攻撃者の手法にさえ弱点はあります。攻撃者が我々から何を意図的に隠しているのかを考えながら、調査をしていることをバレないように慎重に進めていかなければなりません。さもなければ、攻撃者がすぐ路線を変更し、それまでの調査の進捗を無効化されてしまいます。

暗号化は、効果的なネットワークフォレンジックスにとって良い意味で最も重要なハードルであると言われています。暗号化は適切に実装されると解析者側との煉瓦壁に成りえますが、技術的および実装上の弱点を利用することもできます。これらの弱点が存在しない場合でも、暗号化されたネットワークトラフィックへの適切な分析アプローチによってコンテンツに関する貴重な情報を得ることが出来ます。ここでは暗号化の基本と、調査中にどのように暗号化へアプローチするかについて説明します。またこのセクションでは、暗号化された通信を特徴づけるフロー分析についても説明します。

また、不当な目的の為の公開されていないプロトコルや再利用されたプロトコルについても説明します。 具体的には、通信しているプロトコルについての知識が限られていたり、全くなかったりした場合にもインテリジェンスな値を導き出す方法について説明します。

最後に、よくある間違いからフォレンジック担当者が、その進捗状況を攻撃者へどのように明確に提供してしまうかについて説明します。このことは、攻撃者が戦術を変更したり、調査者を混乱させたり、それまでの全ての成果を消し去ることさえ起こしかねません。調査の実施や侵害された環境におけるベストプラクティスと、関連したリスクを軽減するために苦労して得た情報を共有する方法について説明します。

演習

  • SSL 検査
  • 未知のプロトコル機能の特定
  • ミニ包括的な調査:NetFlowを使用したデータ漏洩セッションの識別、pcapを使用したリバースプロトコル、オリジナルファイルの抽出、SSL通信の復号化

トピック

エンコーディング・暗号化とSSL
  • エンコーディングアルゴリズム
  • 暗号化アルゴリズム
    • 対称
    • 非対称
  • 有益なネゴシエーションフィールドを用いたSSL接続のプロファイリング
  • 分析的緩和
  • Perfect forward secrecy(PFS)
中間者攻撃(MITM)
  • 達成方法
  • 善意の使用
  • 一般的な MITM ツール
ネットワーク プロトコル リバース エンジニアリング
  • 既知のプロトコルフィールドによる未知の潜在的なプロトコルの分析
  • 一般的な符号化アルゴリズムのパターン認識
  • 未知のバイナリプロトコルへの対応
  • プロトコルを解読した後にすべきこと
OPSECの分析とスレットインテリジェンス
  • 運用上のセキュリティ
    • 基本的な解析による攻撃者の判明
    • 品質を損なうことなくリスクを軽減する方法
  • インテリジェンス
    • スマートに共有する計画
    • 情報の保護によるリスクの軽減
Day 6

ネットワークフォレンジックス キャップストーンチャレンジ

焦点:このセクションでは、今週までの学んだことをすべて組み合わせます。グループに分かれ、熟練攻撃者による現実世界の不正アクセスからネットワークエビデンスを調べます。 各グループは、独立してデータを分析し、仮説を立て、発展させ、結果を提示します。 エンドポイントシステムからのエビデンスは利用できません。ネットワークとそのインフラストラクチャだけが使用可能です。

インストラクターとクラスへのプレゼンテーションを通して、受講生によるネットワークエビデンスの理解と、仮説をサポートし明確化する能力をテストします。 オーディエンスにはシニアレベルの意思決定者が含まれるため、すべてのプレゼンテーションには、エグゼクティブサマリーと詳細な技術点が含まれていなければなりません。 時間が許せば、繰り返しの侵入の防止、検出、軽減をするための推奨手順も含めてください。

演習

  • キャップストーンラボ

トピック

ネットワークフォレンジックケース
  • ネットワークベースのエビデンスのみを使用した解析
    • 高度な攻撃者の侵入の元を特定
    • 被害者の環境にて攻撃者の行動を特定
    • 攻撃者に盗まれたデータの確認
  • 報告
    • 最後にエグゼクティブサマリーを発表
    • 調査結果の文書化と低レベルレイヤーでのバックアップの提供
    • 攻撃者の活動タイムラインの確立
    • 時間の余裕があれば、同様の高度な攻撃者からの繰り返しの侵入を防ぎ、検出し、軽減するための推奨方法を発表

本サイトに記載されている、各会社名、各製品名は、各社の商標または登録商標です。