የቡድን-IB እና የቤልካሶፍት የጋራ ኮርሶች፡ ምን እንደምናስተምር እና ማን እንደሚመጣ

ለመረጃ ደህንነት ጉዳዮች ምላሽ ለመስጠት ስልተ ቀመሮች እና ስልቶች፣ የወቅቱ የሳይበር ጥቃቶች አዝማሚያዎች፣ በኩባንያዎች ውስጥ ያሉ የመረጃ ፍንጮችን ለመመርመር አቀራረቦች፣ አሳሾች እና ተንቀሳቃሽ መሳሪያዎች ላይ ምርምር ማድረግ፣ የተመሰጠሩ ፋይሎችን መተንተን፣ የጂኦግራፊያዊ አካባቢ መረጃን ማውጣት እና ከፍተኛ መጠን ያለው መረጃን ትንተና - እነዚህ ሁሉ እና ሌሎች ርዕሶች በቡድን-IB እና Belkasoft አዲስ የጋራ ኮርሶች ላይ ማጥናት ይችላል። በነሐሴ እኛ ይፋ ተደርጓል በሴፕቴምበር 9 የሚጀመረው የመጀመሪያው የቤልካሶፍት ዲጂታል ፎረንሲክስ ኮርስ እና ብዙ ጥያቄዎችን ከተቀበልን ፣ ተማሪዎች ምን እንደሚያጠኑ ፣ ምን እውቀት ፣ ችሎታዎች እና ጉርሻዎች (!) በእነዚያ እንደሚቀበሉ የበለጠ በዝርዝር ለመናገር ወሰንን ። ወደ መጨረሻው መድረስ ። መጀመሪያ ነገሮች መጀመሪያ።

ሁለት ሁሉም በአንድ

የጋራ የስልጠና ኮርሶችን የመያዝ ሀሳብ የቡድን-IB ኮርስ ተሳታፊዎች የተበላሹ የኮምፒዩተር ስርዓቶችን እና አውታረ መረቦችን ለመመርመር የሚረዳ መሳሪያ መጠየቅ ከጀመሩ በኋላ እና በአደጋ ምላሽ ወቅት እንዲጠቀሙባቸው የምንመክረው የተለያዩ የነፃ መገልገያዎችን ተግባር በማጣመር ታየ።

በእኛ አስተያየት, እንዲህ ዓይነቱ መሣሪያ የቤልካሶፍት ማስረጃ ማእከል ሊሆን ይችላል (አስቀድመን ስለ እሱ ተነጋገርን ጽሑፍ Igor Mikhailov "የመጀመሪያው ቁልፍ: ለኮምፒዩተር ፎረንሲክስ ምርጥ ሶፍትዌር እና ሃርድዌር"). ስለዚህ እኛ ከቤልካሶፍት ጋር ሁለት የስልጠና ኮርሶችን አዘጋጅተናል፡- Belkasoft ዲጂታል ፎረንሲክስ и Belkasoft ክስተት ምላሽ ምርመራ.

አስፈላጊ፡ ኮርሶቹ ተከታታይ እና እርስ በርስ የተያያዙ ናቸው! ቤልካሶፍት ዲጂታል ፎረንሲክስ ለቤልካሶፍት የማስረጃ ማዕከል ፕሮግራም የተሰጠ ነው፣ እና የቤልካሶፍት የክስተት ምላሽ ፈተና የቤልካሶፍት ምርቶችን በመጠቀም ክስተቶችን ለመመርመር የተሰጠ ነው። ማለትም የቤልካሶፍት የክስተት ምላሽ ፈተናን ኮርስ ከማጥናታችን በፊት የቤልካሶፍት ዲጂታል ፎረንሲክስ ኮርስ እንዲያጠናቅቁ አጥብቀን እንመክራለን። ስለ ክስተት ምርመራዎች ኮርስ ወዲያውኑ ከጀመርክ፣ ተማሪው የቤልካሶፍት ማስረጃ ማእከልን በመጠቀም፣ የፎረንሲክ ቅርሶችን በመፈለግ እና በመመርመር ረገድ የሚያበሳጭ የእውቀት ክፍተቶች ሊኖሩት ይችላል። ይህ ምናልባት በቤልካሶፍት የክስተት ምላሽ ፈተና ኮርስ ውስጥ በስልጠና ወቅት ተማሪው ትምህርቱን ለመቆጣጠር ጊዜ አይኖረውም ወይም የስልጠናው ጊዜ ስለሚጠፋ የቀረውን ቡድን አዲስ እውቀት እንዲቀስም ያደርገዋል። በአሰልጣኙ ከቤልካሶፍት ዲጂታል ፎረንሲክስ ኮርስ ትምህርቱን በማብራራት።

የኮምፒውተር ፎረንሲክስ ከቤልካሶፍት ማስረጃ ማእከል ጋር

የትምህርቱ ዓላማ Belkasoft ዲጂታል ፎረንሲክስ — ተማሪዎችን ከ Belkasoft Evidence Center ፕሮግራም ጋር ያስተዋውቁ፣ ይህንን ፕሮግራም ከተለያዩ ምንጮች (የደመና ማከማቻ፣ ራንደም አክሰስ ሜሞሪ (ራም)፣ ተንቀሳቃሽ መሳሪያዎች፣ ማከማቻ ሚዲያ (ሃርድ ድራይቭ፣ ፍላሽ አንፃፊ፣ ወዘተ)፣ ማስተር እንዲሰበስቡ አስተምሯቸው። መሰረታዊ የፎረንሲክ ቴክኒኮች እና ቴክኒኮች ፣ የዊንዶው ቅርሶች ፣ የሞባይል መሳሪያዎች ፣ ራም ቆሻሻዎች የፎረንሲክ ምርመራ ዘዴዎች እንዲሁም የአሳሾችን እና የፈጣን መልእክት ፕሮግራሞችን ቅርሶችን መለየት እና መመዝገብ ፣ ከተለያዩ ምንጮች የፎረንሲክ ቅጂዎችን መፍጠር ፣ የጂኦግራፊያዊ አካባቢ መረጃን ማውጣት እና መፈለግን ይማራሉ ። ለጽሑፍ ቅደም ተከተሎች (በቁልፍ ቃላቶች መፈለግ)፣ ጥናት ሲደረግ ሃሽ ይጠቀሙ፣ የዊንዶውስ መዝገብ ቤትን ይተንትኑ፣ ያልታወቁ የSQLite ዳታቤዞችን የማሰስ ችሎታዎች፣ የግራፊክ እና የቪዲዮ ፋይሎችን የመመርመር መሰረታዊ ነገሮች፣ እና በምርመራ ወቅት ጥቅም ላይ የሚውሉ የትንታኔ ቴክኒኮችን ይጠቀሙ።

ትምህርቱ በኮምፒዩተር ቴክኒካል ፎረንሲክስ (የኮምፒዩተር ፎረንሲክስ) መስክ ልዩ ችሎታ ላላቸው ባለሙያዎች ጠቃሚ ይሆናል ። ለስኬታማው ጣልቃገብነት ምክንያቶች የሚወስኑ የቴክኒክ ስፔሻሊስቶች, የክስተቶችን ሰንሰለት እና የሳይበር ጥቃቶችን ውጤቶች ይመረምራሉ; ቴክኒካል ስፔሻሊስቶች የመረጃ ስርቆትን (ፍሳሾችን) በውስጥ አዋቂ (የውስጥ ተላላፊ) መለየት እና መመዝገብ; ኢ-ግኝት ስፔሻሊስቶች; የ SOC እና CERT/CSIRT ሠራተኞች; የመረጃ ደህንነት ሰራተኞች; የኮምፒውተር ፎረንሲክስ አድናቂዎች።

የኮርሱ እቅድ፡-

• Belkasoft Evidence Center (BEC): የመጀመሪያ ደረጃዎች
• በ BEC ውስጥ ጉዳዮችን መፍጠር እና ማቀናበር
• ለፎረንሲክ ምርመራዎች ዲጂታል ማስረጃዎችን ከ BEC ጋር ይሰብስቡ

• ማጣሪያዎችን በመጠቀም
• ሪፖርቶችን በማመንጨት ላይ
• የፈጣን መልእክት ፕሮግራሞች ላይ ምርምር

• የድር አሳሽ ጥናት

• የሞባይል መሳሪያ ምርምር
• የጂኦግራፊያዊ አካባቢ ውሂብ በማውጣት ላይ

• በጉዳዮች ውስጥ የጽሑፍ ቅደም ተከተሎችን መፈለግ
• ከደመና ማከማቻዎች መረጃን ማውጣት እና መተንተን
• በምርምር ወቅት የተገኙ ጉልህ ማስረጃዎችን ለማጉላት ዕልባቶችን መጠቀም
• የዊንዶውስ ስርዓት ፋይሎችን መመርመር

• የዊንዶውስ መዝገብ ትንተና
• የ SQLite የውሂብ ጎታዎች ትንተና

• የውሂብ መልሶ ማግኛ ዘዴዎች
• ራም ቆሻሻዎችን ለመመርመር ቴክኒኮች
• በፎረንሲክ ምርምር ውስጥ የሃሽ ካልኩሌተር እና የሃሽ ትንተና መጠቀም
• የተመሰጠሩ ፋይሎች ትንተና
• የግራፊክ እና የቪዲዮ ፋይሎችን ለማጥናት ዘዴዎች
• በፎረንሲክ ምርምር ውስጥ የትንታኔ ዘዴዎችን መጠቀም
• አብሮገነብ የቤልካስክሪፕት ፕሮግራሚንግ ቋንቋን በመጠቀም የዕለት ተዕለት ድርጊቶችን በራስ ሰር ያድርጉ

• ተግባራዊ ትምህርቶች

ኮርስ፡ Belkasoft የክስተት ምላሽ ምርመራ

የትምህርቱ አላማ የሳይበር ጥቃቶችን የፎረንሲክ ምርመራ እና የቤልካሶፍት ማስረጃ ማእከልን በምርመራ የመጠቀም ዕድሎችን መማር ነው። በኮምፒተር ኔትወርኮች ላይ ስለ ዘመናዊ ጥቃቶች ዋና ዋና መንስኤዎች ይማራሉ ፣ የኮምፒተር ጥቃቶችን በ MITER ATT&CK ማትሪክስ ላይ በመመስረት መከፋፈልን ይማራሉ ፣ የስርዓተ ክወና ምርምር ስልተ ቀመሮችን በመተግበር የማግባባትን እውነታ ለመመስረት እና የአጥቂዎችን ተግባር እንደገና ለመገንባት ፣ ቅርሶች የት እንደሚገኙ ይወቁ የትኛዎቹ ፋይሎች በመጨረሻ እንደተከፈቱ ያመልክቱ፣ ኦፕሬቲንግ ሲስተሙ ተፈፃሚ የሚሆኑ ፋይሎች እንዴት እንደወረዱ እና እንደሚተገበሩ፣ አጥቂዎች በአውታረ መረቡ ውስጥ እንዴት እንደሚንቀሳቀሱ እና እነዚህን ቅርሶች BECን በመጠቀም እንዴት እንደሚመረምሩ መረጃ የሚያከማችበት ቦታ። እንዲሁም በስርዓት ምዝግብ ማስታወሻዎች ውስጥ ከክስተት ምርመራ እና የርቀት መዳረሻ ፍለጋ እይታ አንጻር ምን አይነት ክስተቶች ትኩረት እንደሚሰጡ ይማራሉ እና BECን በመጠቀም እንዴት እንደሚመረመሩ ይማራሉ ።

ትምህርቱ ለስኬታማ ጣልቃገብነት ምክንያቶችን ለሚወስኑ ቴክኒካዊ ስፔሻሊስቶች ጠቃሚ ይሆናል, የክስተቶችን ሰንሰለት እና የሳይበር ጥቃቶችን ውጤቶች ለመተንተን; የስርዓት አስተዳዳሪዎች; የ SOC እና CERT/CSIRT ሠራተኞች; የመረጃ ደህንነት ሰራተኞች.

የኮርሱ አጠቃላይ እይታ

የሳይበር ግድያ ሰንሰለት በተጠቂው ኮምፒውተሮች (ወይም የኮምፒዩተር አውታረመረብ) ላይ የሚደርሰውን ማንኛውንም የቴክኒክ ጥቃት ዋና ደረጃዎች እንደሚከተለው ይገልፃል።

የኤስኦሲ ሰራተኞች (CERT፣ የመረጃ ደህንነት፣ ወዘተ) እርምጃዎች ወራሪዎች የተጠበቁ የመረጃ ምንጮችን እንዳያገኙ ለመከላከል ያለመ ነው።

አጥቂዎች ወደተጠበቀው መሠረተ ልማት ከገቡ ከላይ ያሉት ሰዎች በአጥቂዎቹ እንቅስቃሴ ላይ የሚደርሰውን ጉዳት ለመቀነስ፣ ጥቃቱ እንዴት እንደተፈፀመ ለመወሰን፣ በተበላሸ የመረጃ መዋቅር ውስጥ የአጥቂዎቹን ድርጊቶች እና ቅደም ተከተሎች እንደገና መገንባት እና መውሰድ አለባቸው። ለወደፊቱ የዚህ ዓይነቱን ጥቃት ለመከላከል እርምጃዎች.

የሚከተሉት የመከታተያ ዓይነቶች በተበላሸ የመረጃ መሠረተ ልማት ውስጥ ሊገኙ ይችላሉ፣ ይህም አውታረመረብ (ኮምፒዩተር) ተጎድቷል፡

ሁሉም እንደዚህ ያሉ ዱካዎች የቤልካሶፍት ማስረጃ ማእከል ፕሮግራምን በመጠቀም ሊገኙ ይችላሉ።

BEC የ"ክስተት ምርመራ" ሞጁል አለው፣ የማከማቻ ማህደረ መረጃን ሲተነትን ተመራማሪው ክስተቶችን በሚመረምርበት ጊዜ ሊረዱ የሚችሉ ስለ ቅርሶች መረጃ ይቀመጣል።

BEC በምርመራ ላይ ባለው ስርዓት ላይ ሊተገበሩ የሚችሉ ፋይሎችን መፈፀምን የሚያመለክቱ ዋና ዋና የዊንዶውስ ቅርሶችን መመርመርን ይደግፋል ፣ Amcache ፣ Userassist ፣ Prefetch ፣ BAM/DAM ፋይሎች ፣ የዊንዶውስ 10 የጊዜ መስመርየስርዓት ክስተቶች ትንተና.

በተበላሸ ስርዓት ውስጥ ስላለው የተጠቃሚ እርምጃዎች መረጃን ስለያዙ ዱካዎች መረጃ በሚከተለው ቅጽ ሊቀርብ ይችላል ።

ይህ መረጃ፣ ከሌሎች ነገሮች በተጨማሪ፣ ተፈጻሚ የሚሆኑ ፋይሎችን ስለማሄድ መረጃን ያካትታል፡-

RDPWinst.exe ፋይልን ስለማስኬድ መረጃ።

በተበላሹ ስርዓቶች ውስጥ ስለ አጥቂዎች መኖር መረጃ በዊንዶውስ መዝገብ ቤት ጅምር ቁልፎች ፣ አገልግሎቶች ፣ የታቀዱ ተግባራት ፣ የመግቢያ ስክሪፕቶች ፣ WMI ፣ ወዘተ ውስጥ ይገኛሉ ። አጥቂዎች ከስርዓቱ ጋር ስለተያያዙ መረጃዎችን የማግኘት ምሳሌዎች በሚከተሉት ቅጽበታዊ ገጽ እይታዎች ውስጥ ሊታዩ ይችላሉ።

የPowerShell ስክሪፕት የሚያስኬድ ተግባር በመፍጠር አጥቂዎችን የተግባር መርሐግብር አዘጋጅን መገደብ።

የዊንዶውስ አስተዳደር መሳሪያ (WMI) በመጠቀም አጥቂዎችን ማጠናከር።

የLogon ስክሪፕትን በመጠቀም አጥቂዎችን ማጠናከር።

በተበላሸ የኮምፒዩተር አውታረመረብ ውስጥ የአጥቂዎች እንቅስቃሴ ሊታወቅ ይችላል, ለምሳሌ, የዊንዶውስ ሲስተም ሎግዎችን በመተንተን (አጥቂዎቹ የ RDP አገልግሎትን የሚጠቀሙ ከሆነ).

ስለተገኙ የRDP ግንኙነቶች መረጃ።

በአውታረ መረቡ ውስጥ ስለ አጥቂዎች እንቅስቃሴ መረጃ።

ስለዚህም Belkasoft Evidence Center ተመራማሪዎች ጥቃት በደረሰበት የኮምፒዩተር አውታረመረብ ውስጥ የተጠቁ ኮምፒውተሮችን እንዲለዩ፣ ማልዌር የተጀመረባቸውን ምልክቶች፣ በሲስተሙ ውስጥ የተስተካከሉ እና በኔትወርኩ ውስጥ ያሉ እንቅስቃሴዎችን እና ሌሎች በተጠቂ ኮምፒውተሮች ላይ የአጥቂ እንቅስቃሴ ምልክቶችን ለማግኘት ይረዳል።

እንዲህ ዓይነቱን ምርምር እንዴት ማካሄድ እና ከላይ የተገለጹትን ቅርሶች ማግኘት እንደሚቻል በቤልካሶፍት የክስተት ምላሽ ፈተና የሥልጠና ኮርስ ላይ ተብራርቷል።

የኮርሱ እቅድ፡-

• የሳይበር ጥቃት አዝማሚያዎች። ቴክኖሎጂዎች, መሳሪያዎች, የአጥቂዎች ግቦች
• የአጥቂ ዘዴዎችን፣ ቴክኒኮችን እና ሂደቶችን ለመረዳት የማስፈራሪያ ሞዴሎችን መጠቀም
• የሳይበር ገዳይ ሰንሰለት
• የክስተት ምላሽ ስልተ-ቀመር: መለየት, አካባቢያዊነት, አመላካቾችን ማመንጨት, አዲስ የተበከሉ አንጓዎችን መፈለግ
• BEC ን በመጠቀም የዊንዶውስ ስርዓቶች ትንተና
• BEC ን በመጠቀም የመጀመሪያ ደረጃ ኢንፌክሽን ፣ የአውታረ መረብ ስርጭት ፣ ማጠናከሪያ እና የማልዌር አውታረ መረብ እንቅስቃሴ ዘዴዎችን ማወቅ
• BECን በመጠቀም የተበከሉ ስርዓቶችን መለየት እና የኢንፌክሽን ታሪክን ወደነበረበት መመለስ
• ተግባራዊ ትምህርቶች

በየጥኮርሶች የሚካሄዱት የት ነው?
ኮርሶች የሚካሄዱት በቡድን-IB ዋና መሥሪያ ቤት ወይም በውጫዊ ቦታ (የስልጠና ማእከል) ነው. አንድ አሰልጣኝ ከድርጅታዊ ደንበኞች ጋር ወደ ጣቢያዎች መጓዝ ይቻላል.

ክፍሎቹን የሚመራው ማነው?
በቡድን-IB ውስጥ ያሉ አሰልጣኞች የፎረንሲክ ምርምር፣ የድርጅት ምርመራዎችን እና የመረጃ ደህንነት አደጋዎችን ምላሽ በመስጠት የብዙ አመታት ልምድ ያላቸው ባለሙያዎች ናቸው።

የአሰልጣኞች ብቃቶች በበርካታ አለም አቀፍ የምስክር ወረቀቶች የተረጋገጡ ናቸው፡ GCFA፣ MCFE፣ ACE፣ EnCE፣ ወዘተ.

አሰልጣኞቻችን በጣም የተወሳሰቡ ርዕሶችን እንኳን በግልፅ በማብራራት ከተመልካቾች ጋር የጋራ ቋንቋን በቀላሉ ያገኛሉ። ተማሪዎች የኮምፒዩተር ክስተቶችን ስለመመርመር፣ የኮምፒዩተር ጥቃቶችን የመለየት እና የመከላከል ዘዴዎችን እና ከተመረቁ በኋላ ወዲያውኑ ሊተገበሩ የሚችሉበትን ትክክለኛ ተግባራዊ እውቀትን በተመለከተ ተማሪዎች ብዙ ጠቃሚ እና አስደሳች መረጃዎችን ይማራሉ።

ትምህርቶቹ ከቤልካሶፍት ምርቶች ጋር ያልተያያዙ ጠቃሚ ክህሎቶችን ይሰጣሉ ወይስ እነዚህ ችሎታዎች ያለዚህ ሶፍትዌር የማይተገበሩ ይሆናሉ?
በስልጠናው ወቅት የተገኙት ክህሎቶች የቤልካሶፍት ምርቶችን ሳይጠቀሙ ጠቃሚ ይሆናሉ.

በመጀመሪያ ፈተና ውስጥ ምን ይካተታል?

የመጀመሪያ ደረጃ ፈተና የኮምፒዩተር ፎረንሲክስ መሰረታዊ ዕውቀት ፈተና ነው። ስለ Belkasoft እና Group-IB ምርቶች ዕውቀትን ለመሞከር ምንም እቅድ የለም።

ስለ ኩባንያው የትምህርት ኮርሶች መረጃ የት ማግኘት እችላለሁ?

እንደ የትምህርት ኮርሶች አካል ቡድን-IB በአደጋ ምላሽ፣ በማልዌር ምርምር፣ በሳይበር ኢንተለጀንስ ስፔሻሊስቶች (ስጋት ኢንተለጀንስ)፣ ስፔሻሊስቶች በደህንነት ኦፕሬሽን ሴንተር (SOC) ውስጥ እንዲሰሩ፣ ስፔሻሊስቶችን በንቃት አደን (አስጊ አዳኝ) ወዘተ. . ከቡድን-IB ሙሉ የባለቤትነት ኮርሶች ዝርዝር አለ። እዚህ.

በቡድን-IB እና Belkasoft መካከል የጋራ ኮርሶችን ያጠናቀቁ ተማሪዎች ምን ጉርሻዎች ያገኛሉ?
በቡድን-IB እና Belkasoft መካከል በጋራ ኮርሶች ላይ ስልጠና ያጠናቀቁት ያገኛሉ፡-

1. የትምህርቱ ማጠናቀቅ የምስክር ወረቀት;
2. ለቤልካሶፍት ማስረጃ ማእከል ነፃ ወርሃዊ ምዝገባ;
3. Belkasoft Evidence Center ግዢ ላይ 10% ቅናሽ.

የመጀመሪያው ኮርስ ሰኞ እንደሚጀምር እናስታውስዎታለን. 9 መስከረም, - በመረጃ ደህንነት መስክ ልዩ እውቀት የማግኘት እድል እንዳያመልጥዎት ፣ የኮምፒተር ፎረንሲክስ እና የአደጋ ምላሽ! ለትምህርቱ ምዝገባ እዚህ.

ምንጮችጽሑፉን በምዘጋጅበት ጊዜ በኦሌግ ስኩልኪን የቀረበውን አቀራረብ ተጠቅመንበታል “በአስተናጋጅ ላይ የተመሰረቱ ፎረንሲኮችን በመጠቀም ለስኬታማ በመረጃ የተደገፈ የአደጋ ምላሽ የማግባባት አመልካቾችን ለማግኘት።

ምንጭ: hab.com