デジタル・フォレンジックコース

• 遠隔操作マルウェアとC2サーバとの通信
• マルウェアによる通信の特徴
• プロキシログからC2通信を発見する演習

目的：
侵害範囲を確認する為、プロキシログを調査します。
初動対応で必要な、影響範囲を特定するために、プロキシログ内から、遠隔操作マルウェアとC2サーバ間の通信を発見し、侵害されている機器を特定します。
訓練用にカスタマイズされたプロキシログを利用し、演習形式で学びます。

• マルウェアの特徴と自動起動の手口(TTPs）
• マルウェアを発見する3つの観点
• 自動起動に登録されたマルウェアを発見する演習

目的：
標的型攻撃では、侵害された機器に設置されている、ウイルス対策ソフトでは検知できない遠隔操作マルウェアが用いられているケースが散見されることから、手動でマルウェアを探し出す必要があります。
複数の訓練用データを利用し、ASEP（自動開始拡張ポイント）に登録されているマルウェアを手動で探す方法について、演習形式で学びます。

• 認証情報窃取演習
• 横移動手口の把握
• イベントログを利用した調査演習

目的：
標的型攻撃において、よく利用される攻撃手口である認証情報窃取・横移動について学びます。
研修環境を用いて認証情報窃取・横移動手口について把握、その後にイベントログを用いた実行痕跡の調査方法について、演習形式で学びます。

• プリフェッチファイルを利用した侵害確認
• プリフェッチファイルの可視化と調査
• 侵害範囲調査演習

目的：
攻撃者によるプログラムの実行痕跡を調査し、横展開や情報漏洩などの影響について確認し、被害拡大防止に必要となるIOC情報を収集します。
攻撃者が利用する代表的なプログラムの実行痕跡について、訓練用データを利用し、演習形式で学びます。

• NTFS USNジャーナルの可視化
• NTFS USNジャーナルの調査方法

目的：
攻撃者が作成・変更、削除したファイルやフォルダの痕跡を、ファイルシステムのログから追跡する手法について、演習形式で学びます。

• NTFSファイルシステムの基礎
• 削除ファイルの状態遷移
• 削除ファイルの復元手法「カービング」

目的：
NTFSファイルシステムがファイルやフォルダを管理する仕組みを参照し、ファイルやフォルダが削除された場合の処理、削除ファイル（データ）の代表的な復元方法について演習形式で学びます。