コース概要

標的型攻撃などにおける攻撃者の侵害手口は、近年ますます高度化しています。 この為、従来の”ウイルス対策ソフトによるフルスキャン”といった対応手順では、攻撃者が設置した遠隔操作マルウェアなどを発見できない事案が増加傾向にあります。 本コースでは、侵害が疑われる状況において、デジタル・フォレンジック技術を利用した初動対応を行うことにより、被害拡大の防止、影響範囲の確認、情報漏洩を判断する基礎的な手法について演習形式で学びます。（対象はWindows環境となります）

到達目標
・ プロキシログから、マルウェアによる不正通信を発見し、影響範囲の確認などができるようになる。
・ Windowsのシステム内に設置されているマルウェアを発見し、被害状況、影響範囲の確認ができるようになる。
・ 削除ファイルの復元方法を学び、インシデント対応の幅を広げられるようになる。

コース内容
1日目
AM
1．プロキシログ解析
・遠隔操作マルウェアとC2サーバとの通信
・マルウェアによる通信の特徴
・マルウェアによる不正通信の調査演習
PM
2．マルウェアの手動探索
・マルウェアの特徴と自動起動の手口(TTPs）
・マルウェアを発見する3つの観点
・ツールを利用したASEP（自動開始拡張ポイント）の調査演習
2日目
AM
3．プログラム実行痕跡調査
・プリフェッチファイルを利用した侵害確認
・プリフェッチファイルの可視化と調査
・侵害範囲調査演習
PM
4．ファイルシステムのログ調査
・ファイルシステムのログを利用した侵害確認
・NTFS USNジャーナルの可視化と調査
・USNジャーナルによる攻撃痕跡調査演習
5．削除データの調査
・削除ファイルの状態遷移
・削除ファイルの復元手法「カービング」
・攻撃者の隠蔽手口を模したファイル探索演習

前提知識
マルウェアの基本的な動作に関する知識
標的型攻撃で利用される一般的な侵害手口に関する知識

日程：

2日間

2019/07/11～2019/07/12　10:00～17:30

2019/09/05～2019/09/06　10:00～17:30

場所：

ラック　セキュリティアカデミー会場

価格：

リンク先をご確認ください

URL：

https://www.neclearning.jp/courseoutline/courseId/SN44E/

ラック セキュリティアカデミー会場