MWS 2012 ハンズオン 事前申し込み案内

前回のブログでお伝えしたとおり、MWS 2012 でインシデントレスポンスのハンズオンを実施いたします。CSS/MWS 2012 の参加者はどなたでも参加いただけますので、ふるってご参加ください。

ただし、会場やリソースの関係から、参加人数を制限しています。席が空いていれば当日参加も可能ですが、当日の座席も事前申し込みされた方を優先致しますので、下記をご覧いただき、お早めにお申し込みください。

タイトル

インシデントレスポンス (フォレンジック調査、マルウェア解析)

日時

2012年11月1日(木) 8:40-11:20

場所

くにびきメッセ(島根県立産業交流会館)会場6 (401会議室)
〒690-0826 島根県松江市学園南1丁目2番1号
会場のレイアウト上、後ろの方の席からはスクリーンが見えにくい可能性があります。また、当日参加の方は、後方の席になる可能性があります。

提供

株式会社インターネットイニシアティブ

講師

  • サービスオペレーション本部 セキュリティ情報統括室 春山敬宏
    インターネットイニシアティブにて、セキュリティインシデントの対応 (フォレンジック解析・マルウェア解析) やハニーポットの運用・開発に従事している。また、RSA Conference Japan、The Computer Enterprise and Investigations Conference (CEIC)、BlackHat Europe など国内外のカンファレンスにて、プレゼンテーションや自身が作成したツールのトレーニング等を行っている。EnCase Certified Examiner。
  • サービスオペレーション本部 セキュリティ情報統括室 鈴木博志
    大学卒業後、メーカ系 ISP にて Firewall や IDS を用いたネットワークの構築、運用業務に従事。通信系研究所におけるハニーポットシステムの運用、構築、マルウェア解析業務を経て2008年に IIJ 入社。IIJ では、MITF や Web クローラの運用、構築、およびマルウェアに起因するインシデントレスポンスやマルウェアの解析業務に携わる。

内容

マルウェアに感染した端末の HDD イメージに対してフォレンジック調査、及びマルウェア解析を行ない、攻撃者がどのように侵入して何を行ったかを明らかにします。受講者は、このハンズオントレーニング及びその解説を通じて、以下の手法を体系的に学ぶことが可能です。

  • タイムラインの生成と着目すべき事象の見つけ方
    タイムラインとはファイルシステムやレジストリ、Web の閲覧履歴などの時刻情報を時系列に並べたものを言います。
  • 削除されたファイルシステム領域を含む、HDD イメージの解析
  • ユーザの行動調査
  • 自動実行されるプログラム群からマルウェアを特定する手法
  • レジストリの解析
  • 悪意のあるコードの解析 (動的、静的解析)

定員

30名 (事前申し込みをされた方を優先します)

参加方法

定員以内であれば当日参加可能ですが、事前に申し込みされた方を優先します。事前申し込みは、参加者氏名、所属、連絡用メールアドレスを記載の上、10月26日(金) 15時までに、下記アドレスまでご連絡ください。
mws2012-ir-handson@iij.ad.jp

参加要件

  • CSS/MWS 2012 の参加者であること
  • 以下要件を満たすノート PC を持参できること
    • ハードウェア
      • 2GB 以上の RAM を搭載
      • 50GB 以上の空き領域を持った HDD
    • Host OS
      • Windows XP SP3 以降かつ管理者権限のアカウントを有するマシン
      • VMware player 4 以降もしくは VMware Workstation 7 以降 (Workstation 8 を推奨)
      • Microsoft Office (タイムライン閲覧用)
    • Guest OS 1 (動的解析用)
      • Windows XP SP3 32bit 以降 (管理者権限アカウント有する VM) (Windows 7 推奨)
    • Guest OS 2 (フォレンジック用)
      • SANS SIFT Workstation 2.13 or 2.14
        • ディスクイメージからファイルを取り出したり閲覧するのに利用します。
        • ダウンロード後、起動確認まで行ってください。

受講にあたって

受講前に、以下のことをあらかじめご確認ください。

  • VMWare Player の場合、スナップショットを取ることができないので、終了時に実行結果を破棄させる設定を追加します。構築した Windows VM の .vmx ファイルを編集して以下のどちらかの設定を追加してください。
ide0:0.mode = "independent-nonpersistent"Code language: plaintext (plaintext)

もしくは

scsi0:0.mode = "independent-nonpersistent"Code language: plaintext (plaintext)

ide/scsi の後ろにつく番号は、仮想ディスクファイル (vmdk ファイル) の設定に応じて変わるので確認が必要です。詳しくは VMware に関する一般の情報[1]例えば、@IT 仮想 PC で学ぶ「体当たり」Windows システム管理 第8回 VMware Player を使う(後) 3.仮想マシン環境の復元 など。をご参照ください。

  • VMware のバージョンが古い場合、SIFT が以下のエラーを出力して起動できない場合があります。
> 無効な構成ファイルです。ファイル「C:\VMのファイルパス\SIFT Workstation 2.14.vmx」は、このバージョンの VMware Workstation より機能の多い VMware 製品で作成されているため、このバージョンの VMware Workstation では正しく使用できません。構成ファイル C:\VMのファイルパス\SIFT Workstation 2.14.vmx を開くことができません。Code language: plaintext (plaintext)

その場合、例えば VMWare Workstation 7 を使用しているのであれば、.vmx ファイル内の該当する行を以下のように編集してください。

config.version = "7"
virtualHW.version = "7"Code language: plaintext (plaintext)

シェアする