🥇Zajednički kursevi Group-IB i Belkasofta: šta ćemo učiti i ko treba da dođe

Algoritmi i taktike za reagovanje na incidente u informacionoj bezbednosti, trendovi u aktuelnim cyber napadima, pristupi istraživanju curenja podataka u kompanijama, istraživanje pretraživača i mobilnih uređaja, analiza šifrovanih fajlova, vađenje geolokacijskih podataka i analiza velikih količina podataka - sve ove i druge teme može se studirati na novim zajedničkim kursevima Grupe-IB i Belkasofta. U avgustu smo najavljeno prvi Belkasoft kurs digitalne forenzike, koji počinje 9. septembra, i pošto smo dobili veliki broj pitanja, odlučili smo da popričamo detaljnije o tome šta će studenti učiti, koja znanja, kompetencije i bonuse (!) će dobiti oni koji doći do kraja. Krenimo redom.

Dva Sve u jednom

Ideja o održavanju zajedničkih kurseva pojavila se nakon što su polaznici kursa Grupe-IB počeli da se raspituju o alatu koji bi im pomogao u istraživanju kompromitovanih računarskih sistema i mreža, i kombinovao funkcionalnost raznih besplatnih uslužnih programa koje preporučujemo da koriste prilikom reagovanja na incident.

Po našem mišljenju, takav alat bi mogao biti Belkasoft Evidence Center (o tome smo već govorili u članak Igor Mihajlov „Ključ za početak: najbolji softver i hardver za kompjutersku forenziku“). Stoga smo zajedno sa Belkasoftom razvili dva kursa obuke: Belkasoft digitalna forenzika и Belkasoft Incident Response Examination.

VAŽNO: kursevi su sekvencijalni i međusobno povezani! Belkasoft Digital Forensics je posvećen programu Belkasoft Evidence Center, a Belkasoft Incident Response Examination posvećen je istraživanju incidenata koji koriste Belkasoft proizvode. To jest, prije proučavanja kursa Belkasoft Incident Response Examination, toplo preporučujemo da završite kurs Belkasoft digitalne forenzike. Ako odmah počnete sa kursom o istragama incidenata, student može imati neugodne praznine u znanju u korištenju Belkasoft Evidence Centra, pronalaženju i ispitivanju forenzičkih artefakata. To može dovesti do činjenice da tokom obuke na kursu Belkasoft Incident Response Examination, student ili neće imati vremena da savlada gradivo, ili će usporiti ostatak grupe u sticanju novih znanja, jer će vrijeme obuke biti potrošeno od strane trenera koji objašnjava materijal sa kursa Belkasoft Digital Forensics.

Računalna forenzika sa Belkasoft Evidence Centrom

Svrha kursa Belkasoft digitalna forenzika — upoznati studente s programom Belkasoft Evidence Center, naučiti ih kako koristiti ovaj program za prikupljanje dokaza iz različitih izvora (pohrana u oblaku, memorija s nasumičnim pristupom (RAM), mobilni uređaji, mediji za pohranu (tvrdi diskovi, fleš diskovi itd.), savladati osnovne forenzičke tehnike i metode te forenzičko ispitivanje artefakata Windows, mobilni uređaji i RAM dumpovi. Također ćete naučiti kako identificirati i dokumentirati artefakte preglednika i instant poruka, kreirati forenzičke kopije podataka iz različitih izvora, izdvajati podatke o geolokaciji i pretraživati tekstualne nizove (pretraga ključnih riječi), koristiti heševe u istraživanju i vršiti analizu registra. Windows, savladaju vještine istraživanja nepoznatih SQLite baza podataka, osnove ispitivanja grafičkih i video datoteka i analitičke tehnike koje se koriste tokom istraga.

Kurs će biti koristan stručnjacima sa specijalizacijom iz oblasti kompjuterske tehničke forenzike (računarska forenzika); tehnički stručnjaci koji utvrđuju razloge za uspješan upad, analiziraju lanac događaja i posljedice sajber napada; tehnički stručnjaci koji identifikuju i dokumentuju krađu podataka (curenja) od strane insajdera (internog prekršioca); Stručnjaci za e-Discovery; Osoblje SOC i CERT/CSIRT; zaposleni u informacionoj sigurnosti; entuzijasti kompjuterske forenzike.

Plan kursa:

Belkasoft Evidence Center (BEC): prvi koraci
Kreiranje i obrada predmeta u BEC-u
Prikupite digitalne dokaze za forenzičke istrage s BEC-om

Korištenje filtera
Generisanje izveštaja
Istraživanje o programima za razmjenu trenutnih poruka

Istraživanje web pretraživača

Istraživanje mobilnih uređaja
Ekstrahiranje podataka o geolokaciji

Traženje tekstualnih sekvenci u padežima
Ekstrakcija i analiza podataka iz skladišta u oblaku
Korišćenje obeleživača za isticanje značajnih dokaza pronađenih tokom istraživanja
Istraživanje sistemskih datoteka Windows

Analiza registra Windows
Analiza SQLite baza podataka

Metode oporavka podataka
Tehnike za ispitivanje RAM dumpova
Korištenje hash kalkulatora i hash analize u forenzičkim istraživanjima
Analiza šifriranih datoteka
Metode za proučavanje grafičkih i video datoteka
Upotreba analitičkih tehnika u forenzičkim istraživanjima
Automatizirajte rutinske radnje koristeći ugrađeni programski jezik Belkascripts

Praktične lekcije

Kurs: Belkasoft Incident Response Examination

Svrha kursa je naučiti osnove forenzičke istrage cyber napada i mogućnosti korištenja Belkasoft Evidence Centra u istrazi. Naučićete o glavnim vektorima savremenih napada na računarske mreže, naučiti da klasifikujete računarske napade na osnovu matrice MITER ATT&CK, primenite algoritme istraživanja operativnog sistema da biste utvrdili činjenicu kompromitovanja i rekonstruisali akcije napadača, naučićete gde se nalaze artefakti koji naznačite koje su datoteke posljednje otvorene, gdje operativni sistem pohranjuje informacije o tome kako su izvršne datoteke preuzete i izvršene, kako su se napadači kretali kroz mrežu i naučite kako ispitati ove artefakte koristeći BEC. Također ćete naučiti koji događaji u sistemskim logovima su od interesa sa stanovišta istrage incidenata i detekcije udaljenog pristupa, te naučiti kako ih istražiti koristeći BEC.

Kurs će biti koristan tehničkim stručnjacima koji utvrđuju razloge za uspješan upad, analiziraju lance događaja i posljedice sajber napada; administratori sistema; Osoblje SOC i CERT/CSIRT; osoblje za sigurnost informacija.

Pregled kursa

Cyber Kill Chain opisuje glavne faze svakog tehničkog napada na žrtvine računare (ili računarsku mrežu) na sljedeći način:

Radnje zaposlenih u SOC-u (CERT, informaciona sigurnost itd.) imaju za cilj sprečavanje uljeza da pristupe zaštićenim informacionim resursima.

Ukoliko napadači ipak prodru u zaštićenu infrastrukturu, onda gore navedene osobe treba da pokušaju da minimiziraju štetu od aktivnosti napadača, utvrde kako je napad izveden, rekonstruišu događaje i redoslijed radnji napadača u kompromitovanoj informacijskoj strukturi i preduzmu mjere za sprječavanje ove vrste napada u budućnosti.

Sljedeće vrste tragova mogu se naći u ugroženoj informacijskoj infrastrukturi, što ukazuje da je mreža (računalo) kompromitirana:

Svi takvi tragovi mogu se pronaći pomoću programa Belkasoft Evidence Center.

BEC ima modul “Incident Investigation” u koji se prilikom analize medija za skladištenje postavljaju informacije o artefaktima koji mogu pomoći istraživaču prilikom istrage incidenata.

BEC podržava istraživanje ključnih tipova artefakata Windows, što ukazuje na pokretanje izvršnih datoteka na sistemu koji se proučava, uključujući Amcache, Userassist, Prefetch, BAM/DAM datoteke, Windows 10 Timeline,analiza sistemskih događaja.

Informacije o tragovima koji sadrže informacije o radnjama korisnika u kompromitovanom sistemu mogu se predstaviti u sljedećem obliku:

Ove informacije, između ostalog, uključuju informacije o pokretanju izvršnih datoteka:

Informacije o pokretanju datoteke 'RDPWInst.exe'.

Informacije o prisutnosti napadača na kompromitovanim sistemima mogu se pronaći u ključevima za pokretanje registra. Windows, servisi, planirani zadaci, skripte za prijavu, WMI, itd. Primjeri otkrivanja informacija o prisutnosti napadača u sistemu mogu se vidjeti na sljedećim snimcima ekrana:

Ograničavanje napadača pomoću planera zadataka kreiranjem zadatka koji pokreće PowerShell skriptu.

Uporni napadači koji koriste alate za upravljanje Windows (Windows Instrumentacija za upravljanje (WMI).

Konsolidacija napadača pomoću skripte za prijavu.

Kretanje napadača preko kompromitovane računarske mreže može se otkriti, na primjer, analizom sistemskih logova. Windows (kada napadači koriste RDP uslugu).

Informacije o otkrivenim RDP vezama.

Informacije o kretanju napadača po mreži.

Tako Belkasoft Evidence Center može pomoći istraživačima da identifikuju kompromitovane računare u napadnutoj računarskoj mreži, pronađu tragove pokretanja malvera, tragove fiksacije u sistemu i kretanja po mreži, kao i druge tragove aktivnosti napadača na kompromitovanim računarima.

Kako provesti takvo istraživanje i otkriti gore opisane artefakte opisano je u kursu Belkasoft Incident Response Examination kursa.

Plan kursa:

Trendovi cyber napada. Tehnologije, alati, ciljevi napadača
Korištenje modela prijetnji za razumijevanje napadačevih taktika, tehnika i procedura
Cyber kill lanac
Algoritam odgovora na incidente: identifikacija, lokalizacija, generiranje indikatora, traženje novih inficiranih čvorova
Анализ Windows-sistemi koji koriste BEC
Detekcija metoda primarne infekcije, širenja mreže, konsolidacije i mrežne aktivnosti zlonamjernog softvera pomoću BEC-a
Identifikujte zaražene sisteme i vratite istoriju infekcije koristeći BEC
Praktične lekcije

ČESTA PITANJAGdje se održavaju kursevi?
Kursevi se održavaju u sjedištu Grupe-IB ili na vanjskom mjestu (trening centar). Moguće je da trener putuje na sajtove sa korporativnim klijentima.

Ko vodi nastavu?
Predavači u Group-IB su praktičari sa dugogodišnjim iskustvom u provođenju forenzičkih istraživanja, korporativnih istraga i reagovanja na incidente u vezi sa informacijskom sigurnošću.

Kvalifikacije trenera potvrđuju brojni međunarodni sertifikati: GCFA, MCFE, ACE, EnCE, itd.

Naši treneri lako pronalaze zajednički jezik sa publikom, jasno objašnjavajući i najsloženije teme. Studenti će naučiti mnogo relevantnih i zanimljivih informacija o istraživanju kompjuterskih incidenata, metodama prepoznavanja i suzbijanja kompjuterskih napada, te steći prava praktična znanja koja mogu primijeniti odmah nakon diplomiranja.

Hoće li kursevi pružiti korisne vještine koje nisu povezane sa Belkasoft proizvodima ili će te vještine biti neprimjenjive bez ovog softvera?
Veštine stečene tokom obuke biće korisne bez korišćenja Belkasoft proizvoda.

Šta je uključeno u početno testiranje?

Primarno testiranje je test poznavanja osnova kompjuterske forenzike. Nema planova za testiranje znanja o Belkasoft i Group-IB proizvodima.

Gdje mogu pronaći informacije o obrazovnim kursevima kompanije?

U sklopu edukativnih kurseva, Group-IB obučava stručnjake za reagovanje na incidente, istraživanje zlonamjernog softvera, stručnjake za sajber obavještajne podatke (Threat Intelligence), stručnjake za rad u Sigurnosno-operativnom centru (SOC), specijaliste za proaktivni lov na prijetnje (Threat Hunter) itd. . Dostupna je kompletna lista vlasničkih kurseva iz Group-IB ovdje.

Koje bonuse dobijaju studenti koji završe zajedničke kurseve između Group-IB i Belkasofta?
Oni koji su završili obuku na zajedničkim kursevima između Group-IB i Belkasofta dobiće:

potvrdu o završenom kursu;
besplatna mjesečna pretplata na Belkasoft Evidence Center;
10% popusta na kupovinu Belkasoft Evidence Centra.

Podsjećamo da prvi kurs počinje u ponedjeljak, 9 septembar, - ne propustite priliku da steknete jedinstveno znanje iz oblasti informacione sigurnosti, kompjuterske forenzike i reagovanja na incidente! Prijava za kurs ovdje.

IzvoriU pripremi članka koristili smo prezentaciju Olega Skulkina „Korišćenje forenzike zasnovane na domaćinu da bismo dobili pokazatelje kompromisa za uspješan odgovor na incidente na temelju obavještajnih podataka“.

izvor: www.habr.com