OSIR合格体験記 - ラック・セキュリティごった煮ブログ

DP部のもたもたです。
本日はOSIR(Offsec Insident Response)*1を取得したので、勉強方法などについて共有しようと思います。

背景

元々OSDA*2を取得し、ログフォレンジックやディスクフォレンジックなどのフォレンジック技術に興味を持っていたことと、最終的にはoffsecの資格コンプリートを目指していたこともあって、次に受講する選択肢としてはフォレンジック関連の資格であるOSIRとOSTHのどちらかとなりました。ただ、個人的にはディスクフォレンジックやメモリフォレンジックの方に興味があったこともあり、先にOSIRを受講することを選択しました。

内容

内容としてはOSDAのようなsplunkを用いたログフォレンジックに加え、autopsy(Autopsy - Digital Forensics)を用いたディスクフォレンジック、volatilityを用いたメモリフォレンジックなどの要素が入ってきます。試験は問題を解いてフラグを提出する形式となっており、40ポイントがsplunkを用いたログフォレンジック、30ポイントがautopsyを用いたディスクフォレンジックと、そこから抽出されたマルウェアを解析する問題となっており、50ポイント以上が合格点となります。
他にOSDAと違う点としては、制限時間の短さがあります。試験時間はおよそ3分の1の8時間となっており、仮眠や食事を挟まず一気に進めることが可能な程度の長さになっています。とはいえ、多少の休憩は取るようにした方が効率はいいかと思います。
最後に、レポートの要件が異なり、問題の解き方だけではなく、攻撃の影響そのものや攻撃に対する封じ込めや回復などの対処方法まで書くように求められています。これが他のOffensive Securityの試験とも少し違う厄介なところで、問題を解くプロセスと、攻撃全体の両方に目を向ける必要があるということになります。

準備

かなり前に提供されるテキストのうち、ログフォレンジックやディスクフォレンジックといった試験に関係がありそうな部分を読んでチャレンジラボの問題を解き、一応の合格点に達することができていたのですが、諸事情あってかなり長いこと受験できずにいました。
その間、PCを途中で諸事情により買い替えた結果、OSDAの頃から溜め込んでいたsplunk関連のナレッジをほぼ手放すこととなってしまい、チートシートはほぼ一から作り直すことになってしまいました。また、コース教材についてもいろいろあってpdfを読んで勉強したり、試験中に参考にするのが困難になってしまいました。
新たに勉強する際に非常に参考になったのは、「詳解　インシデントレスポンス」*3という書籍でした。ログフォレンジックであれば実際の攻撃時に重要となる特に集中して確認すべきイベント、ディスクフォレンジックやメモリフォレンジックに関してもツールは違うとはいえ、見るべき部分をピックアップして解説しているため、欠けてしまった部分の補完が大変楽になりました。
また、実際にRDPやkerberos認証を行った場合、どのような順でイベントが記録されるかについても解説されていました。
(ただしvolatilityに関しては私が読んだ版ではバージョン2の情報となっていて少し記載が古かったので、新版で補完されていない場合に関してはvolatility3の情報を調べて補完すべきだと思います。)
ピックアップされているwindowsのeventcodeやコマンドを記憶し、本番のシナリオに沿うなら何を問われそうかを考えつつチートシートをアップデートする、ということを2日くらいかけて行っていました。
また今回は、ブラウザのみで試験を行おうと考えていたのでVMwareで仮想マシンを立てることはしませんでした。
封じ込めや回復といった侵害後の対処については、正直その場の流れで必要そうなことを書けば行けるだろうと高をくくっていました。

試験

具体的な試験内容自体はお伝え出来ないのですが、難易度的には難しいと感じました。というのも、問題が6問あるのに対し8時間しか時間がなかったため、OSDAのようにじっくりと腰を据え、裏付けを取っている時間がないためです。チャレンジラボを解いた際にもこの問題にぶつかっており、それを踏まえて「問題を解くことを優先し、余った時間で攻撃全体の流れを追う」という戦略を立てていたのですが、本番においては目の前にあった答えをなぜか盛大に見落とした結果、2時間程度浪費してしまい、休憩中に家族に「これは無理かも...」とこぼしてしまうほどでした。大体どの試験もそうだった気がしますが
最終的に問題の答えにこそ漕ぎつけられたものの、後回しにした攻撃全体の流れに取り組む十分な時間がなかったため、「なぜこれが答えなのか?」という理由を筋道立ててはっきりレポートに記せないまま終わってしまった問題がいくつかあり、それで減点されたら厳しいな、と思っていました。
また、ブラウザインスタンスが繋がらなくなったり、proctorセッションがフリーズして試験が一時中断になったりといったアクシデントもありました。合計すると30分くらい時間を失ったのですが、その分が試験時間としてカウントされていたのかはどうにも不明瞭です。

結果

翌日にはすぐに合格のメールが届きました。
個人的に問題の答えはともかくレポートはだいぶ抜けが多い印象が強かったので微妙かなと思っていたのですが...合格していたあたり、それが理由で減点されることはあまりないのかなと思いました。

感想

ログフォレンジックに関してはあまりOSDAと学べることは変わらなかった印象ですが、ディスクフォレンジックやメモリフォレンジックに関しては触れたことがなかったこともあり、新しい知識として楽しく吸収できました。業務や趣味のプログラムを動かしている際に問題が起きても、自力で対処できる手札が増えたと思います。機会があれば学んだ知識を生かしてCTFの問題を解いてみたり、作問をしてみたりしたいと思います。