GREM 認定プログラムで学べること: 説明

GIAC GREM 認定プログラムは、新しいスキルを習得し、リバース マルウェア分析の専門知識を証明する優れた方法です。

GREM 認定試験に合格するには、計画、検出、緩和、分析、対応など、インシデント対応を徹底的に理解することが重要です。 GIAC GREM 認定は、業界で最もよく知られ、広く受け入れられている認定の 1 つであり、マルウェア ソフトウェアをより深く理解してキャリアを向上させるのに役立ちます。

このブログ投稿では、GIAC GREM 認定トレーニング プログラムで習得するスキルについて説明します。

GIAC GREM 認定試験とは何ですか?

GIAC リバース エンジニアリング マルウェア (GREM) 認定は、リバース エンジニアリングの原則と手法に関する個人のスキルと知識を検証する、業界で認められた認定です。 GIAC GREM 認定プログラムは、組織を悪意のあるコードから保護する技術者 (情報技術エンジニア) 向けに設計されています。

GIAC GREM 認定プロフェッショナルは、Microsoft Windows や Web ブラウザーなどの一般的なプラットフォームをターゲットとする悪意のあるソフトウェアのリバース エンジニアリングに精通しています。彼らは、フォレンジック調査、インシデント対応、および Windows システム管理の専門家です。GREM 認定を取得すれば、最先端のマルウェア分析スキルを雇用主や顧客にアピールできます。

GIAC GREM 認定を取得するには、次の分野のスキルと知識をテストする単一の試験に合格する必要があります。

• 悪意のあるドキュメント ファイルの分析、保護された実行可能ファイルの分析、および Web ベースのマルウェアの分析。

• 悪意のあるブラウザー スクリプトの詳細な分析、および悪意のある実行可能ファイルの詳細な分析。

• メモリ フォレンジックとマルウェア コードおよび動作分析の基礎を使用したマルウェア分析。

• リバース エンジニアリングのための Windows アセンブリ コードの概念と、アセンブリにおける一般的な Windows マルウェアの特性。

GIAC GREM 試験は、66 ～ 75 の多肢選択式質問を含む 2 ～ 3 時間のオンライン テストです。 GREM 認定試験に合格するには、受験者は最低 73% の合格点を取得する必要があります。

学習内容

GIAC GREM 認定では、マルウェアを徹底的に分析する方法に関する知識が身につきます。GIAC GREM 認定コースでは、マルウェア分析ツールと手法について詳しく学習します。GIAC マルウェア リバース エンジニアリング (FOR610) トレーニング プログラムは、フォレンジック調査員、インシデント対応者、セキュリティ エンジニア、脅威アナリストが悪意のあるプログラムを分析するための実践的なスキルを習得するのに役立っています。

脅威インテリジェンスを導き出し、サイバーセキュリティ インシデントに対応し、企業の防御を強化するには、マルウェアの機能を理解する必要があります。GREM 認定コースでは、さまざまなネットワーク監視ユーティリティ、アセンブラ、デバッガ、その他の無料ツールを使用して悪意のあるソフトウェアをリバース エンジニアリングする準備ができます。

コースの一環として、マルウェア分析の基本を学習し、自動分析結果を超えることができるようになります。このコースでは、柔軟なラボを使用して悪意のあるソフトウェアの内部動作とラボ内の実際のマルウェア サンプルを調べる方法を学習します。さらに、ラボでネットワーク トラフィックを解読および傍受して、さらなる洞察を引き出す方法も学習します。デバッガーを使用した動的コード分析手法の習得に加えて、ソース コードの分析方法も学習します。

次のタスクは、主流の攻撃や標的型攻撃でよく使用される、悪意のある Microsoft Office、RTF、および PDF ドキュメント ファイルを分析することです。GIAC GREM 認定プログラムでは、このようなドキュメント内のマクロやその他の潜在的な脅威についても学習します。また、悪意のあるコードを含む JavaScript および PowerShell スクリプトの難読化を解除する方法も学習します。

GIAC GREM (FOR610) 認定トレーニング プログラムでは、次の方法を学習します。

• 悪意のあるコードと動作を分析するために、隔離された制御されたラボ環境をセットアップします。
• ネットワークおよびシステム監視ツールを使用して、マルウェアが Windows 環境のファイル システム、レジストリ、ネットワーク、およびその他のプロセスとどのようにやり取りするかを監視します。
• エクスプロイト キットがドライブバイ Web サイト攻撃を開始するためによく使用する、悪意のある JavaScript およびその他の Web コンポーネントを調査して分析します。
• ネットワーク トラフィックの傍受とコード パッチを利用して、マルウェアの動作を効果的に分析します。
• 逆アセンブラとデバッガを使用して、悪意のある Windows 実行ファイルの内部動作を調べます。
• マルウェア作成者がアナリストを混乱させたり、誤った方向に誘導したり、その他の方法で速度を低下させたりするために設計したさまざまなパッカーやその他の防御メカニズムを回避します。
• コード インジェクション、API フック、分析対策など、悪意のあるコードに共通するアセンブリ レベルのパターンを理解して認識します。
• 悪意のある PDF および Microsoft Office ドキュメントに関連する脅威を評価します。
• 悪意のある実行ファイルを使用して、インシデント対応と脅威インテリジェンスのための侵害の指標 (IOC) を導き出します。

GREM 認定試験シラバス

FOR610.1: マルウェア分析の基礎

• 効果的なマルウェア分析のためのツールキットの組み立て
• 疑わしいプログラムの静的プロパティの調査
• 悪意のある Windows 実行ファイルの動作分析の実行。悪意のある Windows 実行可能ファイルの動的コード分析の実行
• ラボでマルウェアのネットワーク相互作用を調査して、追加特性を調べる

FOR610.2: 悪意のあるコードの逆コンパイル

• 悪意のあるコード分析のためのコア x86 アセンブリ概念の理解
• 逆アセンブラを使用して主要なアセンブリ構造を識別する
• プログラム制御フローをたどって決定ポイントを理解する
• Windows API レベルでの一般的なマルウェア特性の認識
• アセンブリの知識を拡張して x64 コード分析を含める

FOR610.3: 悪意のあるドキュメントの分析

• 疑わしい Web サイトの分析を含む、悪意のある PDF ファイルの分析。 Microsoft Office ドキュメントの VBA マクロ
• シェルコードの分析を含む、悪意のある RTF ファイルの調査
• XLM マクロの意味の理解

FOR610.4: 詳細なマルウェア分析

• 悪意のある JavaScript の難読化解除
• パックされた Windows マルウェアの認識
• アンパックの開始
• デバッガーを使用してパックされたマルウェアをメモリからダンプする、マルチテクノロジおよび「ファイルレス」マルウェアの分析
• コード インジェクションと API フック

FOR610.5: 自己防衛型マルウェアの調査

• マルウェアがデバッガーを検出し、埋め込みデータを保護する方法
• プロセス ホローイングを使用する悪意のあるソフトウェアのアンパック
• マルウェアによる分析ツールの検出と回避の試みの回避
• SEH および TLS コールバックを含む、コード ミスディレクション手法の処理
• パッカーの動作を予測して悪意のある実行可能ファイルをアンパック

FOR610.6: マルウェア分析トーナメント

• マルウェア分析の基礎
• 悪意のあるコードのリバース静的および動的手法の使用
• 悪意のあるドキュメントの分析
• 解凍を含む詳細なマルウェア分析
• 自己防衛型マルウェアの調査

GREM 認定を受けるための前提条件は何ですか?

GIAC マルウェア リバース エンジニアリング (FOR610) の受験者は、次の条件を満たす必要があります。

• ラップトップの仕様を満たすコンピュータ システムが必要です。学生が授業に参加する前に、いくつかのソフトウェアをインストールする必要があります。
• Windows および Linux オペレーティング環境を理解し、OS の接続とセットアップに関連する一般的な問題のトラブルシューティングを行う。
• VMware と、仮想マシンのインポートおよび構成方法を理解する。
• 変数、ループ、関数などのコア プログラミング概念を一般的に理解することで、関連する概念をすばやく把握できます。プログラミング経験は必要ありません。

GREM 試験を受験できるのは誰ですか?

GREM 認定は、セキュリティ業界で最も評価の高い認定の 1 つです。GREM 認定を取得すると、マルウェア リバース エンジニアリングに関する知識とスキルを証明できます。さらに、GREM 認定バッジを取得することで、他のセキュリティ専門家との差別化が図れ、需要の高いセキュリティ専門家になれます。

GREM で担える役割は次のとおりです。

• システムおよびネットワーク管理者
• 監査人
• セキュリティ コンサルタント
• セキュリティ マネージャー
• マルウェア インシデントに対処する個人
• セキュリティ実践者
• フォレンジック調査員
• テクノロジーの専門知識を公式化して拡大したい人

要点

GIAC GREM 認定トレーニング プログラムは、悪意のあるソフトウェアとその対処方法を教える最も価値のある資格の 1 つです。GREM 認定は、インシデント対応者とセキュリティ専門家に、悪意のあるソフトウェアが関与するインシデントの重大度とインシデントの影響を評価するスキルを提供し、回復に必要な手順を計画できるようにすることを目的としています。

フォレンジック調査員は、調査中にマルウェアの主な特徴、つまりこれらの特徴と侵害の兆候の出現との関係、およびこれらの兆候に基づいてインシデントの範囲と封じ込めを決定する方法も理解します。

CBT Proxy は、この試験を受験する場合、初回で GIAC GREM 認定試験に合格できるようお手伝いします。試験の準備方法や開始方法について詳しく知りたい場合は、下のチャット ボタンをクリックすると、ガイドの 1 人がサポートします。