デジタル・フォレンジックコース ～侵害調査の基礎訓練～

・IT技術者(インフラ系)
・情報システム・セキュリティ推進部門担当者
・SOC(セキュリティ運用)要員
・CSIRT要員(管理系)
・CSIRT要員(技術系)

・マルウェアの基本的な動作に関する知識
・標的型攻撃で利用される一般的な侵害手口に関する知識(Persistence, Lateral Movement, Exfiltration)

当コースを修了した時点で、次のことができることを目標とします。

1.プロキシログから、マルウェアによる不正通信を発見し、影響範囲の確認などができるようになる
2.Windowsのシステム内に設置されているマルウェアを発見し、被害状況、影響範囲の確認ができるようになる
3.削除ファイルの復元方法を学び、インシデント対応の幅を広げられるようになる

●1日目
1.プロキシログ解析
　・遠隔操作マルウェアとC2サーバとの通信
　・マルウェアによる通信の特徴
　・マルウェアによる不正通信の調査演習
2.マルウェアの手動探索
　・マルウェアの特徴と自動起動の手口(TTPs)
　・マルウェアを発見する3つの観点
　・ツールを利用したASEP(自動開始拡張ポイント)の調査演習

●2日目
3.プログラム実行痕跡調査
　・プリフェッチファイルを利用した侵害確認
　・プリフェッチファイルの可視化と調査
　・侵害範囲調査演習
4.ファイルシステムのログ調査
　・ファイルシステムのログを利用した侵害確認
　・NTFS USNジャーナルの可視化と調査
　・USNジャーナルによる攻撃痕跡調査演習

5.削除データの調査
　・削除ファイルの状態遷移
　・削除ファイルの復元手法「カービング」
　・攻撃者の隠蔽手口を模したファイル探索演習