こちらの続きです。本日、後半戦を行いました。
前半戦(ハンズオン第3段階まで)で、PCからマルウェアが検出された状況をログから調べたところで、引き続き、ハンズオン第4段階・第5段階で、
・そのマルウェアは、どこから感染したのか?
・マルウェアがどんな情報を窃取したのか?
・LAN内でどのような活動が行われたのか?
を確認していく流れです。
このあたりになると、Windowsの普通のエディタでの検索では厳しくなってきます。
やはり、grep検索できるエディタが必要です(道具が重要!)。
Linuxの環境があれば、そちらに持って行って検索することもできます。
ハンズオンでも、やっぱり苦戦しました。
ハンズオンが終わったところで、最後に解説です。
外部ツールは最小限しか使わず、netコマンドなど、ほとんどWindows標準あるいは純正のコマンド・ツール類を使って、侵入後の横展開と情報の窃取が行われたことを、簡単に説明しました。
なお、このハンズオンの全てではないですが、ポイントとなる「手法」については、この書籍の第5章と第9章で解説されています。
興味があれば、一度確認してみると良いでしょう。
防御する側ではなく、攻撃側(ペネトレーションテストをする側)の立場で解説されています。
なお、ハンズオンでも使いましたが、攻撃の痕跡を調べるのに役立つ資料がJPCERT/CCから公開されています。
インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書
やはり、物事は「知識」として知っているだけではなく、実際に手を動かして「体験」してみることが重要です。
本を読むことも人の話を聞くことも大事ですが、読んだ(聞いた)だけで満足するのと実際にやってみるのとでは大違いです。
新人さんが「やってみたら途中で詰まる」様子を見ると、特にそう思います。能力が高く賢い新人さんでも、やってみる前には何かしら「勘違い」をしているものです。
また、ベテランや上級職が、自分で手を動かしたことがない(動かす気もない)ことに対して口出しばかりして責任を取らないのは、単なる「迷惑」ではなく「害悪」です(自分がそうならないように気をつけます…)。
ハンズオンやテストがそのままイコール(真の意味で)「体験」することにはなりませんが、実際に手を動かすきっかけにはなると思います。