読者です 読者をやめる 読者になる 読者になる

構築中。

名古屋のインフラエンジニアです。ITイベントへの参加記録などを残していきます。

ハンズオン、実際にやってみた(後半戦)

こちらの続きです。本日、後半戦を行いました。

hmatsu47.hatenablog.com

 

前半戦(ハンズオン第3段階まで)で、PCからマルウェアが検出された状況をログから調べたところで、引き続き、ハンズオン第4段階・第5段階で、

 

・そのマルウェアは、どこから感染したのか?

マルウェアがどんな情報を窃取したのか?

・LAN内でどのような活動が行われたのか?

 

を確認していく流れです。

このあたりになると、Windowsの普通のエディタでの検索では厳しくなってきます。

やはり、grep検索できるエディタが必要です(道具が重要!)。

Linuxの環境があれば、そちらに持って行って検索することもできます。

ハンズオンでも、やっぱり苦戦しました。

 

ハンズオンが終わったところで、最後に解説です。

外部ツールは最小限しか使わず、netコマンドなど、ほとんどWindows標準あるいは純正のコマンド・ツール類を使って、侵入後の横展開と情報の窃取が行われたことを、簡単に説明しました。

 

なお、このハンズオンの全てではないですが、ポイントとなる「手法」については、この書籍の第5章と第9章で解説されています。

book.mynavi.jp

 

興味があれば、一度確認してみると良いでしょう。

防御する側ではなく、攻撃側(ペネトレーションテストをする側)の立場で解説されています。

 

なお、ハンズオンでも使いましたが、攻撃の痕跡を調べるのに役立つ資料JPCERT/CCから公開されています。

インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書

 

やはり、物事は「知識」として知っているだけではなく、実際に手を動かして「体験」してみることが重要です。

本を読むことも人の話を聞くことも大事ですが、読んだ(聞いた)だけで満足するのと実際にやってみるのとでは大違いです。

 

新人さんが「やってみたら途中で詰まる」様子を見ると、特にそう思います。能力が高く賢い新人さんでも、やってみる前には何かしら「勘違い」をしているものです。

また、ベテランや上級職が、自分で手を動かしたことがない(動かす気もない)ことに対して口出しばかりして責任を取らないのは、単なる「迷惑」ではなく「害悪」です(自分がそうならないように気をつけます…)。

 

ハンズオンやテストがそのままイコール(真の意味で)「体験」することにはなりませんが、実際に手を動かすきっかけにはなると思います。