Алгарытмы і тактыка рэагавання на інцыдэнты інфармацыйнай бяспекі, тэндэнцыі актуальных кібератак, падыходы да расследавання ўцечак дадзеных у кампаніях, даследаванне браўзэраў і мабільных прылад, аналіз зашыфраваных файлаў, выманне дадзеных аб геолокации і аналітыка вялікіх аб'ёмаў дадзеных – усе гэтыя і іншыя тэмы можна вывучыць на новых сумесных курсах Group-IB і Belkasoft. У жніўні мы першы курс Belkasoft Digital Forensics, які стартуе ўжо 9 верасня, і, атрымаўшы вялікую колькасць пытанняў, вырашылі падрабязней расказаць пра тое, што будуць вывучаць слухачы, якія веды, кампетэнцыі і бонусы (!) атрымаюць тыя, хто дойдзе да канца. Аб усім па парадку.
Два Усё ў адным
Ідэя правядзення сумесных навучальных курсаў з'явілася пасля таго, як слухачы курсаў Group-IB сталі пытацца пра прыладу, якая б дапамагала ім пры даследаванні скампраметаваных кампутарных сістэм і сетак, і аб'ядноўваў у сабе функцыянал розных бясплатных утыліт, якія мы рэкамендуем выкарыстоўваць падчас рэагаванняў на інцыдэнты. .
На нашу думку, такім інструментам мог бы быць Belkasoft Evidence Center (мы ўжо расказвалі пра яго ў Ігара Міхайлава "Ключ на старт: лепшыя праграмныя і апаратныя сродкі для кампутарнай крыміналістыкі"). Таму мы, сумесна з кампаніяй Belkasoft, распрацавалі два навучальныя курсы: Belkasoft Digital Forensics и Belkasoft Incident Response Examination.
ВАЖНА: курсы з'яўляюцца паслядоўнымі і ўзаемазлучанымі! Belkasoft Digital Forensics прысвечаны праграме Belkasoft Evidence Center, а Belkasoft Incident Response Examination - расследаванню інцыдэнтаў з дапамогай прадуктаў Belkasoft. Гэта значыць перад вывучэннем курса Belkasoft Incident Response Examination мы настойліва раім прайсці навучанне па курсе Belkasoft Digital Forensics. Калі пачаць адразу з курса пра расследаванне інцыдэнтаў, у слухача могуць узнікнуць прыкрыя прабелы ў ведах па выкарыстанні Belkasoft Evidence Center, знаходжанні і даследаванні крыміналістычных артэфактаў. Гэта можа прывесці да таго, што падчас навучання па курсе Belkasoft Incident Response Examination слухач ці не паспее асвоіць матэрыял, ці будзе тармазіць астатнюю групу ў атрыманні новых ведаў, бо навучальны час будзе марнавацца трэнерам на тлумачэнне матэрыялу з курса Belkasoft Digital Forensics.
Кампутарная крыміналістыка з Belkasoft Evidence Center
Мэта курса Belkasoft Digital Forensics - пазнаёміць слухачоў з праграмай Belkasoft Evidence Center, навучыць іх выкарыстоўваць гэтую праграму для збору доказаў з розных крыніц (хмарных сховішчаў, аператыўнай памяці (АЗП), мабільных прылад, носьбітаў інфармацыі (цвёрдыя дыскі, флэш-назапашвальнікі і г.д.), асвоіць базавыя крыміналістычныя прыёмы і тэхнікі, метады крыміналістычнага даследавання артэфактаў Windows, мабільных прылад, дампаў аператыўнай памяці.Таксама вы навучыцеся выяўляць і дакументаваць артэфакты браўзэраў і праграм абмену імгненнымі паведамленнямі, ствараць крыміналістычныя копіі дадзеных з розных крыніц, здабываць дадзеныя аб геолокации і ажыццяўляць пошук тэкст (Пошук па ключавых словах), выкарыстоўваць хешы пры правядзенні даследаванняў, вырабляць аналіз рэестра Windows, асвоіце навыкі даследавання невядомых баз дадзеных SQLite, асновы даследавання графічных і відэафайлаў і аналітычныя прыёмы, якія прымяняюцца ў ходзе правядзення расследаванняў.
Курс будзе карысны экспертам са спецыялізацыяй у галіне камп'ютарна-тэхнічнай экспертызы (камп'ютарнай экспертызы); тэхнічным спецыялістам, якія вызначаюць прычыны паспяховага ўварвання, аналізуюць ланцужкі падзей і наступствы кібератак; тэхнічным спецыялістам, якія выяўляюць і дакументуюць крадзяжы (уцечкі) дадзеных інсайдэрам (унутраным парушальнікам); спецыялісты e-Discovery; супрацоўнікам SOC і CERT/CSIRT; супрацоўнікам службы інфармацыйнай бяспекі; энтузіястам камп'ютарнай крыміналістыкі.
План курса:
- Belkasoft Evidence Center (BEC): першыя крокі
- Стварэнне і апрацоўка кейсаў у BEC
- Збор лічбавых доказаў у рамках крыміналістычнага даследавання з дапамогай BEC
- Выкарыстанне фільтраў
- Стварэнне справаздач
- Даследаванне праграм абмену імгненнымі паведамленнямі
- Даследаванне вэб-браўзэраў
- Даследаванне мабільных прылад
- Выманне дадзеных аб геолокации
- Пошук тэкставых паслядоўнасцяў у кейсах
- Выманне і аналіз дадзеных з хмарных сховішчаў
- Выкарыстанне закладак для вылучэння значных доказаў, выяўленых у ходзе даследавання
- Даследаванне сістэмных файлаў Windows
- Аналіз рэестра Windows
- Аналіз баз дадзеных SQLite
- Метады аднаўлення дадзеных
- Прыёмы даследавання дампаў аператыўнай памяці
- Выкарыстанне хэш-калькулятара і хэш-аналізу ў крыміналістычных даследаваннях
- Аналіз зашыфраваных файлаў
- Метады даследавання графічных і відэафайлаў
- Выкарыстанне аналітычных прыёмаў пры крыміналістычных даследаваннях
- Аўтаматызацыя руцінных дзеянняў з дапамогай убудаванай мовы праграмавання Belkascripts
- Практычныя заняткі
Курс: Belkasoft Incident Response Examination
Мэта курса - вывучыць асновы крыміналістычнага расследавання кібератак і магчымасці выкарыстання Belkasoft Evidence Center пры расследаванні. Вы даведаецеся пра асноўныя вектары сучасных нападаў на кампутарныя сеткі, навучыцеся класіфікаваць кампутарныя атакі на аснове матрыцы MITRE ATT&CK, ужываць алгарытмы даследавання аперацыйных сістэм на прадмет усталявання факту кампраметацыі і рэканструкцыі дзеянняў атакавалых, даведаецеся, дзе знаходзяцца артэфакты, якія паказваюць на тое, якія файлы адчыняліся апошнімі , дзе ў аперацыйнай сістэме захоўваецца інфармацыя аб загрузцы і запуску выкананых файлаў, як перамяшчаліся атакавалыя па сетцы, і навучыцеся даследаваць гэтыя артэфакты з дапамогай BEC. Таксама вы даведаецеся, якія падзеі ў сістэмных часопісах уяўляюць цікавасць з пункта гледжання расследавання інцыдэнтаў і ўсталяванні факту выдаленага доступу і навучыцеся іх даследаваць з дапамогай BEC.
Курс будзе карысны тэхнічным спецыялістам, якія вызначаюць прычыны паспяховага ўварвання, аналізуюць ланцужкі падзей і наступствы кібератак; сістэмным адміністратарам; супрацоўнікам SOC і CERT/CSIRT; супрацоўнікам службы інфармацыйнай бяспекі.
Агляд курса
Cyber Kill Chain апісвае асноўныя этапы любой тэхнічнай атакі на кампутары (ці кампутарную сетку) ахвяры наступным чынам:
Дзеянні супрацоўнікаў SOC (CERT, інфармацыйнай бяспекі і г.д.), накіраваныя на тое, каб не дапусціць зламыснікаў на інфармацыйныя рэсурсы, якія абараняюцца.
Калі зламыснікі ўсё ж такі праніклі ў інфраструктуру, якая абараняецца, то вышэйпаказаныя асобы павінны пастарацца мінімізаваць страты ад дзейнасці атакавалых, вызначыць, якім спосабам была ажыццёўлена атака, рэканструяваць падзеі і паслядоўнасць дзеянняў атакавалых у скампраметаванай інфармацыйнай структуры і прыняць меры да прадухілення падобнага тыпу нападаў у далейшым.
У скампраметаванай інфармацыйнай інфраструктуры могуць быць знойдзены наступныя тыпы слядоў, якія паказваюць на кампраметацыю сеткі (кампутара):
Усе падобныя сляды могуць быць знойдзены пры дапамозе праграмы Belkasoft Evidence Center.
У BEC маецца модуль "Расследаванне інцыдэнтаў", куды пры аналізе носьбітаў інфармацыі змяшчаюцца звесткі аб артэфактах, якія здольныя дапамагчы даследчыку пры расследаванні інцыдэнтаў.
BEC падтрымлівае даследаванне асноўных тыпаў артэфактаў Windows, якія паказваюць на запуск выкананых файлаў у доследнай сістэме, уключаючы файлы Amcache, Userassist, Prefetch, BAM/DAM, , аналіз сістэмных падзей.
Інфармацыя аб слядах, якія змяшчаюць звесткі аб дзеяннях карыстальніка ў скампраметаванай сістэме, можа быць прадстаўлена ў наступным выглядзе:
Гэтая інфармацыя, у тым ліку, уключае ў сябе звесткі аб запуску выкананых файлаў:
Інфармацыя аб запуску файла 'RDPWInst.exe'.
Звесткі аб замацаванні атакавалых у скампраметаваных сістэмах могуць быць выяўлены ў ключах запуску рэестра Windows, сэрвісах, запланаваных задачах, Logon scripts, WMI і г.д. Прыклады выяўлення звестак аб замацаванні ў сістэме атакавалых могуць быць бачныя на наступных скрыншотах:
Замацаванне атакавалых з выкарыстаннем планавальніка задач, шляхам стварэння задачы якая запускае PowerShell скрыпт.
Замацаванне атакавалых з выкарыстаннем інструментара кіравання Windows (Windows Management Instrumentation, WMI).
Замацаванне атакавалых з дапамогай Logon script.
Перасоўванне атакавалых па скампраметаванай кампутарнай сетцы можа быць выяўлена, напрыклад, аналізам сістэмных часопісаў Windows (пры выкарыстанні атакавалымі сэрвісу RDP).
Інфармацыя аб выяўленых RDP-злучэннях.
Інфармацыя аб перамяшчэнні атакавалых па сетцы.
Такім чынам, Belkasoft Evidence Center здольная дапамагчы даследнікам выявіць скампраметаваныя кампутары ў атакаванай кампутарнай сетцы, знайсці сляды запуску шкоднасных праграм, сляды замацавання ў сістэме і перасоўванні па сетцы і іншыя сляды дзейнасці атакавалых на скампраметаваных кампутарах.
Пра тое, як праводзіць падобныя даследаванні і выяўляць апісаныя вышэй артэфакты, расказваецца ў курсе навучання Belkasoft Incident Response Examination.
План курса:
- Тэндэнцыі здзяйснення кібератак. Тэхналогіі, інструменты, мэты зламыснікаў
- Выкарыстанне мадэляў пагроз для разумення тактык, тэхнік і працэдур атакавалых
- Cyber kill chain
- Алгарытм рэагавання на інцыдэнт: ідэнтыфікацыя, лакалізацыя, фармаванне індыкатараў, пошук новых заражаных вузлоў
- Аналіз Windows-сістэм з дапамогай BEC
- Выяўленне метадаў першаснага заражэння, распаўсюджвання па сетцы, замацаванні, сеткавай актыўнасці шкоднаснага ПА з дапамогай BEC
- Выяўленне заражаных сістэм і аднаўленне храналогіі заражэння з дапамогай BEC
- Практычныя заняткі
Часта задаваныя пытанніДзе праводзяцца курсы?
Курсы праводзяцца ў штаб-кватэры Group-IB ці на знешняй пляцоўцы (у навучальным цэнтры). Магчымы выезд трэнера на пляцоўкі да карпаратыўных заказчыкаў.
Хто праводзіць заняткі?
Трэнерамі ў кампаніі Group-IB з'яўляюцца практыкі, якія маюць шматгадовы досвед правядзення крыміналістычных даследаванняў, карпаратыўных расследаванняў і рэагаванняў на інцыдэнты інфармацыйнай бяспекі.
Кваліфікацыя трэнераў пацверджана шматлікімі міжнароднымі сертыфікатамі: GCFA, MCFE, ACE, EnCE і г.д.
Нашы трэнеры лёгка знаходзяць агульную мову з аўдыторыяй, даступна тлумачачы нават самыя складаныя тэмы. Слухачы даведаюцца шмат актуальнай і цікавай інфармацыі аб расследаванні кампутарных інцыдэнтаў, метадах выяўлення і супрацьдзеянні кампутарным нападам, атрымліваюць рэальныя практычныя веды, якія могуць ужыць адразу пасля заканчэння навучання.
Ці дадуць курсы карысныя навыкі, не звязаныя з прадуктамі Belkasoft, ці без дадзенага ПЗ гэтыя навыкі будуць непрымяняльныя?
Навыкі, атрыманыя падчас трэнінгаў, будуць карыснымі і без выкарыстання прадуктаў Belkasoft.
Што ўваходзіць у першаснае тэсціраванне?
Першаснае тэставанне - гэта тэст на веданне асноў кампутарнай крыміналістыкі. Правядзенне тэсціравання на веданне прадуктаў кампаній Belkasoft і Group-IB не плануецца.
Дзе можна знайсці інфармацыю аб адукацыйных курсах кампаніі?
У рамках адукацыйных курсаў Group-IB рыхтуе адмыслоўцаў па рэагаванні на інцыдэнты, даследаванню шкоднасных праграм, адмыслоўцаў па кіберразведцы (Threat Intelligence), адмыслоўцаў для працы ў Security Operation Center (SOC), адмыслоўцаў па проактивному пошуку пагроз (Threat Hunter) і т.д . Поўны спіс аўтарскіх курсаў ад кампаніі Group-IB даступны .
Якія бонусы атрымліваюць слухачы, якія скончылі сумесныя курсы Group-IB і Belkasoft?
Тыя, хто прайшоў навучанне на сумесных курсах Group-IB і Belkasoft атрымаюць:
- сертыфікат аб праходжанні курса;
- бясплатную месячную падпіску на Belkasoft Evidence Center;
- скідку 10% на набыццё Belkasoft Evidence Center.
Нагадваем, што першы курс стартуе ў панядзелак, 9 верасня, - не выпусціце магчымасць атрымаць унікальныя веды ў галіне інфармацыйнай бяспекі, кампутарнай крыміналістыкі і рэагавання на інцыдэнты! Запіс на курс .
крыніцыПры падрыхтоўцы артыкула выкарыстоўвалася прэзентацыя Алега Сккулкіна «Праграма host-based forensics для выяўлення лічыльнікаў compromise for successful intelligence-driven incident response».
Крыніца: habr.com