ホーム > FOR610 Reverse-Engineering Malware: Malware Analysis Tools and Techniques

FOR610 Reverse-Engineering Malware: Malware Analysis Tools and Techniques

  • New!
    新規コース(過去6ヶ月)

コース基本情報

コースタイトル FOR610 Reverse-Engineering Malware: Malware Analysis Tools and Techniques
コースコード SCC0181R  
コース種別 集合研修 形式 講義+実機演習
期間 6日間 時間 9:30~17:30 価格(税抜) 610,000円(税抜)
主催 NRIセキュアテクノロジーズ株式会社
日程 会場 空席状況 実施状況 選択

2017年10月16日(月) ~ 2017年10月21日(土)

NRI東京(秋葉原UDX)

  お問い合わせください

※「キャンセル待ち」でお申し込みの方には、別途メールにてご連絡いたします。
※「実施確定」表示のない日程は、お申し込み状況により開催中止になる場合がございます。
※ グローバルナレッジ主催コース以外の空席状況は、残席数に関わらず「お申し込み後確認」と表示されます。
※ グローバルナレッジ主催コース以外では、主催会社のお席を確保した後に受付確定となります。

詳しくはお問い合わせください。

ワンポイント

FOR610は、GIAC(GREM)認定試験対象コースです。
受験をご希望の場合、同時に「GIAC試験バウチャーバンドルオプション」をお申し込みください。
※試験バウチャーはSANSトレーニングのセット購入の場合のみご購入可能です。
(試験バウチャーのみのご購入はお断りさせていただきます)

当コースのご受講には、演習で使用するPCのご持参が必要です。受講に必要なPC環境(外部サイト)をご確認いただき、ご準備の上トレーニングにご持参くださいますようお願いいたします。

当コースは、早期割引の適用が可能です。

■早期申込割引について(46日前までの申込み)
 610,000円(税抜) → 570,000円(税抜) 
→割引適用ご希望の方はお申込時に備考欄へ「早期申込割引適用希望」とご記載ください。

■当コースのを受講いただいた方は、2017年10月26日~27日開催 Core NetWars Experience に無料でご参加いただけます。
Core NetWars Experienceにご参加希望の方はお申し込み時に備考欄へ「Core NetWars Experience 参加希望」とご記載ください。

対象者情報

対象者
・インシデントレスポンダ―(インシデント対応者)
・フォレンジック調査者
・マルウェアアナリスト
・マルウェア解析の一定の知識はあるが、体系化された手法を習得して専門性を高めたい方
前提条件
□特になし

学習内容の詳細

コース概要
このコースでは、マルウェア解析ツール、手法を詳細に解説していきます。FOR610は、フォレンジック担当者、インシデントレスポンダー、セキュリティエンジニア、IT管理者にとって、感染もしくは標的となったWindowsシステム内の悪意あるプログラムを調査するための実践的なスキル獲得に役立ちます。マルウェアの機能を理解することは、組織の能力として重要なことであり、スレットインテリンジェンスへの派生、インシデント対応、防衛能力の強化に活用できます。本コースを通じて学習することで、マルウェアのリバースエンジニアリングに関する強固な土台となるスキルを身につけることができます。具体的には、さまざまなシステム監視ユーティリティやネットワーク監視ユーティリティ、ディスアセンブラー、デバッガー、その他マルウェアの内部/外部を調査する上で有用なツール群を使うスキルを獲得していきます。
コース最終日は、CTFに挑戦してもらいます。一連学んできたことの復習になり、実践的かつハンズオンでマルウェア解析を楽しみながら学べるよい機会となることでしょう。
本コースでは、管理下にあるラボでマルウェアを調査して、マルウェア解析手法を実践してみるハンズオン演習を重視しています。演習を行うことで、典型的なパターンを理解し、コードを分析する際に重要な部分を理解できるでしょう。そして演習をスムーズに行えるようにするために、あらかじめマルウェア解析用のツールを構成してあるWindowsとLinuxの仮想マシンを用意してあります。
学習目標
● 隔離された管理下にあるラボ環境を構築し、悪意あるプログラムの挙動とコードを分析する
● ネットワークとシステム監視ツールを使い、どのようにマルウェアがファイルシステム、レジストリ、ネットワーク、その他のWindows環境のプロセスに感染していくかを調査する
● Webページのコンポーネントとして含まれる、ドライブバイアタックを行うためエクスプロイトキットによってよく用いられる悪意あるJavaScriptやVBScriptを明らかにし分析する
● 悪意あるプログラムの挙動を制御する方法として、ネットワーク通信をインターセプトしコードパッチングを行って効果的にマルウェア解析を行う
● ディスアセンブラとデバッガーを使って、悪意あるWindows実行ファイルの内部の仕組みを調査する
● アナリストを欺き混乱させ解析を遅延させるために、マルウェア開発者が講じたさまざまなパッカーや防御機構をバイパスする
● DLLインジェクションやアンチ解析手法等の悪意あるコードに、共通のアセンブラパターンを認識し理解する
● 標的型攻撃のシナリオで用いられるPDFやMicrosoft Officeファイルといった悪意あるドキュメントに関する脅威を評価する
● 悪意ある実行ファイルからIOCを作り、インシデントレスポンスのトリアージに活用する
● ルートキットの特徴やその他マルウェアの種類を調査する上で、実用的なメモリフォレンジックを活用する
学習内容
Day 1 マルウェア解析基礎
  - 効果的なマルウェア解析のためのツールキット構築
  - 疑わしいプログラムの静的パラメーター調査
  - Windowsマルウェアの挙動解析を行う方法
  - Windowsマルウェアの静的解析と動的解析を行う方法
  - マルウェアとの対応から行動特性を導き出す

 Day 2 悪意あるコード解析
  - コードレベルでのマルウェア解析を行うためのx86アセンブリの概念
  - ディスアセンブラを使用したアセンブラのロジック構造の主要部分を特定する方法
  - プログラム制御フローに従い、実行ポイントを理解する
  - Windows APIレベルでのマルウェア特性を理解する
    (レジストリ操作、キーロギング、HTTP通信、ドロッパーなど)
  - x64コード解析を組み込むためのアセンブリ知識の拡張

 Day 3 悪意のあるWeb、ドキュメントファイル
  - 悪意あるWebサイトから脅威の特性を評価する
  - デバッガとインタプリタを使用して難読化された悪意あるJavaScriptを解読する
  - 疑わしいPDFファイルの解析
  - 悪意あるMicrosoft Officeドキュメントの検査(マクロ含む)
  - 悪意あるRTFドキュメントファイルの解析

 Day 4 より深いマルウェア解析
  - パッキングされたマルウェアの識別
  - アンパッキング概説
  - パッキンクされたマルウェアをメモリからデバッガでダンプする方法
  - マルチテクノロジーとファイルレスのマルウェア分析方法
  - コードインジェクションとAPIフック
  - マルウェア分析にメモリフォレンジックを使用する方法

 Day 5 自己防衛型マルウェア
  - マルウェアがデバッガを検出し、埋め込みデータを保護する方法
  - 悪意あるソフトウェアのプロセス空洞化を利用したアンパック方法
  - マルウェアが解析ツールを検知する機能を特定し無効化する方法
  - SEHおよびTLSコールバックを含むコード誤検出手法
  - パッカーの動きを予期して悪意ある実行可能ファイルをアンパックする方法

 Day 6 マルウェア解析トーナメント
  - チーム戦によるマルウェア解析チャレンジ(NetWarsシステム利用)
  - 挙動解析
  - 動的解析(デバッガー)
  - 静的解析(ディスアセンブラ)
  - JavaScript解読
  - PDF文書解析
  - Office文書解析
  - メモリ解析

関連試験や資格との関連

GIAC認定試験 GIAC(GREM)認定試験

ご注意・ご連絡事項

・当コースは、NRIセキュアテクノロジーズ株式会社が主催いたします、SANS認定トレーニングです。
・早期割引価格適用することも可能です。
適用条件:トレーニング初日の46日前までに申込み手続きが完了していること
・お申込み期限(全トレーニング共通):
- トレーニング初日の7日前まで
・キャンセル期限:
- トレーニング初日の46日前まで:無償キャンセル
- トレーニング初日の45-16日前まで:キャンセル料として20,000円をお支払いただきます
- トレーニング初日の15日前以降:受講費用の100%をお支払いただきます