ホーム > FOR710 Reverse-Engineering Malware: Advanced Code Analysis

FOR710 Reverse-Engineering Malware: Advanced Code Analysis

対応チケット/ポイント等

  • New!
    新規コース(過去6ヶ月)
期間  5日間 時間  9:00~17:30
価格(税込)  1,155,000円(税込) 主催  NRIセキュアテクノロジーズ株式会社
コース種別  集合研修  
形式  講義+演習(Virtual Classroom) コースコード  SCC0381R
日程 会場 空席状況 実施状況 選択

2022年10月24日(月) ~ 2022年10月28日(金)

NRI(SANS LiveOnline)

  お申し込み後確認

※「キャンセル待ち」でお申し込みの方には、別途メールにてご連絡いたします。
※「実施確定」表示のない日程は、お申し込み状況により開催中止になる場合がございます。
※ お申込期日が過ぎた日程は、「お問い合わせください」と表示されます。
※ トレノケート主催コース以外の空席状況は、残席数に関わらず「お申し込み後確認」と表示されます。
※ トレノケート主催コース以外では、主催会社のお席を確保した後に受付確定となります。
お申込みに関するお問い合わせはこちらから

ワンポイントアドバイス

■SANSトレーニングにご参加いただく際には、ページ下部の関連付加情報に掲載した「受講に必要なPC環境」(外部サイト)をご確認いただき、準備の上、実習/演習内容詳細欄に記載のスペックを満たしたPCをご持参ください。


人材開発支援助成金を申請予定の場合、担当営業もしくはWebにご相談ください。

重要なご連絡・ご確認事項

SANSの受講者ポータルサイトに登録のため、
・氏名英語表記
・会社名英語表記
・部署名英語表記
が必要です。(必須)
お申し込み時には、備考欄に上記情報のご記入をお忘れなくお願いいたします。

■無償キャンセル期間について
 開催日の46日前(弊社の休業日の場合はその前営業日)まではキャンセル料は発生いたしません。

■受講者変更期間について
 上記記載のポータルサイトを作成していない場合に限り、開催日の22日前(弊社の休業日の場合はその前営業日)までのご連絡であれば変更が可能です。

講義時間は、
1日目  :9:00 ~ 17:30
2~5日目 :9:30 ~ 17:30
となります。

対象者情報

対象者
・中級レベルのリバースエンジニアリングのスキルを向上させたい情報セキュリティ担当者
・難読化されたコードの解析、マルウェアの暗号化機能の評価、解析作業の自動化、効果的な検出ルールの生成などの能力を向上させたいリバースエンジニアの方
前提条件
FOR710は、上級レベルのWindowsリバースエンジニアリングを学習するコースです。本コースは、SANS 「FOR610 Reverse-Engineering Malware」で説明したものと同等の知識およびスキルを有することを前提としています。動作解析、動的コード解析(デバッガの使用など)、静的コード解析(逆アセンブルされた実行コンテンツの解析など)を少なくとも6ヶ月以上行った経験があることが望ましいです。この機能に馴染みがない場合は、Anuj Soniによる簡単なイントロダクション(https://www.youtube.com/watch?v=NCO9F7U3d6c)をご覧ください。

学習内容の詳細

コース概要
防御側の分析スキルが向上し、マルウェアの自動検出機能が改善されるにつれ、マルウェアの作成者は、そのマルウェアを攻撃対象の企業で実行できるようにするため、より努力を重ねています。その結果、検知と分析を妨げるため、メモリ内で実行される、難読化を何重にも施したモジュール型のマルウェアが生み出されています。マルウェアアナリストは、これらの高度な機能に対応できるように準備し、可能な限り自動化を進めて、企業を標的とするマルウェアの量、種類、複雑さに対応する必要があります。

FOR710はFOR610の次のステップに位置づけられ、中級レベルのマルウェア解析能力を身につけた受講生が、さらに高度な解析能力を身につけるためのコースです。SANS認定インストラクターのAnuj Soniが開発したこのコースは、世間を騒がし、世界中のインシデント対応チームを悩ませるような高度なWindows実行ファイルを解析できるようにするためのものです。

深いリバースエンジニアリングのスキルを身につけるには、一貫した練習が必要です。このコースでは、座学だけでなく、授業中に実際のリバースエンジニアリングの実践演習に取り組む機会も数多く設けられています。
学習目標
本コースはFOR610の次のステップに位置づけられ、中級レベルのマルウェア解析能力を身につけた受講生が、さらに高度な解析能力を身につけるためのコースです。実際のリバースエンジニアリングの実践演習に取り組み、世界中のインシデント対応チームを悩ませるような高度なWindows実行ファイルを解析できるようにします。
学習内容
※本コースは、英語教材・同時通訳での実施となります。

Day 1 コードの難読化および実行
  - コード難読化の分析
  - プログラム実行の確認
  - シェルコードの実行の理解

Day 2 マルウェアにおける暗号化
  - 暗号化の要点
  - ファイル暗号化と鍵の保護
  - マルウェアにおけるデータ暗号化

Day 3 マルウェア解析の自動化
  - マルウェア解析のためのPython
  - DBI(Dynamic Binary Instrumentation)フレームワークによるマルウェア解析
  - Ghidraでの解析の自動化

Day 4 マルウェアとの相関分析とルールの構築
  - 相関分析
  - YARAルールの構築
  - CAPAルールの構築

Day 5 高度なマルウェア解析トーナメント

実習/演習内容詳細

ソフトウェア
ハードウェア
FOR710 PC設定詳細

【受講に必要なPC環境】
演習で使用するノートPCをご準備ください。受講に必要なPC環境についてご確認ください。

!重要!次の手順に従ってシステムを構成してください。

このコースに完全に参加するためには、正しく設定されたシステムが必要です。この説明書をよく読み、それに従わない場合は、このコースに不可欠な実習に参加できないため、満足のいく授業が受けられない可能性が高くなります。したがって、このコースで指定されているすべての要件を満たすシステムで参加されることを強くお勧めします。

また、授業の前にシステムをバックアップしていただくとともに、機密データをシステムに保存しないようにしてください。弊社は受講者の皆様のシステムやデータに対して責任を負いません。

ハードウェア条件
・CPU 64ビット Intel i5/i7 (4th generation+) - x64 bit 2.0+ GHz プロセッサまたはそれ以上の最新のプロセッサが必要です。
・M1プロセッサを使用するAppleシステムは、必要な仮想化機能を実行できないため、このコースには一切使用できません。
・64ビットの仮想マシンがラップトップ上で動作するように、CPUとオペレーティングシステムが64ビットをサポートしていることが重要です。VMware は、お使いのホストが 64 ビットのゲスト仮想マシンをサポートしているかどうかを検出する Windows 用の無償ツールを提供しています。トラブルシューティングのために、この記事は、WindowsユーザがCPUとOSの能力についてより詳しく判断するための良い手順を提供しています。Mac の場合は、Apple のこのサポートページを使用して 64 ビット機能を判断してください。
・「Intel-VT」のような仮想化技術を有効にするために、BIOS設定を行う必要があります。パスワードで保護されている場合は、変更が必要な場合に備えて、BIOSにアクセスできることを確認してください。授業の前にテストしておくようにしてください。
・このクラスでは16GB(ギガバイト)以上のRAMが必須です。
・USB 3.0 Type-Aポートが必要です。USB 3.0 Type-Aポートが少なくとも1つ開いていて、動作していることが必要です。そのため、新しいノートパソコンでは、Type-CからType-Aへのアダプタが必要になる場合があります。エンドポイント保護ソフトウェアの中には、USBデバイスの使用を妨げるものがあります。授業の前にUSBドライブでシステムをテストし、コースデータを読み込めるかどうかを確認してください。
・システムのハードディスクに200ギガバイトの空き容量があることが必要です。ハードディスクの空き容量は、配布するVMをホストするために重要です。
・ローカル管理者権限が必須です。もし、会社のPCで管理者権限が付与されていない場合は、別のPCをご用意ください。
・Wi-Fi(11)機能は必須です。クラス形式でこのコースに参加する際は、クラス内のWi-Fiネットワークに接続する必要があります。Wi-Fiが使えないと、コースの重要な部分に参加することができません。

ホスト構成とソフトウェア要件
・ホストOSは、Windows 10 Pro、Linux、またはmacOS 10.14以降が動作し、後述のVMware仮想化製品をインストールおよび実行できるシステムであることが必要です。
・受講前にホストOSをアップデートし、最新の0デバイスを使用するためのドライバやパッチをインストールしておく必要があります。
・Linux ホストを使用する場合は、適切なカーネルまたは FUSE モジュールを使用して、exFAT パーティションにアクセスできるようにすることが必要です。
・7-Zip (Windows ホスト用) または Keka (macOS) をダウンロードし、インストールしてください。これらの解凍ソフトがないと、授業で提供する大きなアーカイブファイルを解凍することができません。

VMware Workstation Pro
・VMware Workstation ProまたはVMware Fusion Proの最新バージョンを授業前にダウンロードし、インストールしてください。VMwareの最新バージョンを使用していない場合、VMwareが最新のOSと互換性がないという問題が発生します。VMware WorkstationまたはFusionのライセンスをお持ちでない方は、VMware社から30日間の無料体験版をダウンロードすることができます。VMware社のホームページからトライアルに登録すると、期間限定のシリアルナンバーが送られてきます。
・製品名に "Pro "と記載されているバージョンを入手する必要があります。無償の非Pro版(VMware Workstation Playerなど)は、本コースで必要となるスナップショット機能をサポートしていないため、本コースでは使用できません。
・VirtualBoxやHyper-Vなどの他の仮想化ソフトウェアは、互換性や授業中に遭遇する可能性のあるトラブルシューティングの問題があるため、使用できません。
・Windows 10上のVMware Workstation Proは、Windows 10のCredential GuardおよびDevice Guardテクノロジーと互換性がありません。これらの機能がシステム上で有効になっている場合は、VMwareのガイドに従って、授業中はこれらの機能を無効にしてください。

授業用メディアは、現在ダウンロードで配信されています。授業で使用するメディアファイルは、40~50GBの大容量となる場合があります。ダウンロードが完了するまでには、十分な時間が必要です。インターネット接続と速度は、様々な要因によって大きく異なります。そのため、教材のダウンロードにかかる時間の目安をお知らせすることはできません。ダウンロードリンクにアクセスできるようになりましたら、コースメディアのダウンロードを速やかに開始してください。授業初日には、コースメディアがすぐに必要になります。授業開始の前夜にダウンロードを開始すると、失敗する可能性が高くなります。

SANSでは、PDF形式の印刷物の提供を開始しました。さらに、一部のクラスでは、PDFに加え、電子ワークブックを使用しています。電子ワークブックを使用するクラスは、今後急速に増加すると思われます。この新しい環境では、セカンドモニターやタブレット端末があれば、講師の講義中やラボの演習中に授業資料を見ることができ、便利です。

コース関連付加情報

ご注意・ご連絡事項

・当コースは、NRIセキュアテクノロジーズ株式会社が主催いたします、SANS認定トレーニングです。
・お申込み期限(全トレーニング共通):
- トレーニング初日の11日前まで
・キャンセル期限:
- トレーニング初日の46日前まで:無償キャンセル
- トレーニング初日の45-16日前まで:キャンセル料として20,000円をお支払いただきます
- トレーニング初日の15日前以降:受講費用の100%をお支払いただきます
・受講者変更期限
- トレーニング初日の22日前まで:変更可能(ポータルサイトを作成していない場合に限ります)

講師からのメッセージ

インストラクター
マルウェアがより複雑になるにつれ、マルウェア解析も複雑になっています。近年、マルウェアの作者は、独創的な回避技術、堅牢なアルゴリズム、弱点を改善するための反復開発などを用いて、危険で検知されないコードの作成を加速させています。熟練したリバースエンジニアは、綿密なコード解析を行うとともに、自動化を用いてコードの層を分解し、リスクの高い機能を特徴付け、難読化された指標を抽出する必要があります

- Anuj Soni