Zajednički kursevi Group-IB i Belkasofta: šta ćemo učiti i kome doći

Algoritmi i taktike za reagovanje na incidente u informacionoj bezbednosti, trendovi u aktuelnim cyber napadima, pristupi istraživanju curenja podataka u kompanijama, istraživanje pretraživača i mobilnih uređaja, analiza šifrovanih fajlova, vađenje geolokacijskih podataka i analiza velikih količina podataka - sve ove i druge teme može se studirati na novim zajedničkim kursevima Grupe-IB i Belkasofta. U avgustu smo najavljeno prvi Belkasoft kurs digitalne forenzike, koji počinje 9. septembra, i pošto smo dobili veliki broj pitanja, odlučili smo da popričamo detaljnije o tome šta će studenti učiti, koja znanja, kompetencije i bonuse (!) će dobiti oni koji doći do kraja. Krenimo redom.

Dva Sve u jednom

Ideja o održavanju zajedničkih kurseva pojavila se nakon što su polaznici kursa Grupe-IB počeli da se raspituju o alatu koji bi im pomogao u istraživanju kompromitovanih računarskih sistema i mreža, i kombinovao funkcionalnost raznih besplatnih uslužnih programa koje preporučujemo da koriste prilikom reagovanja na incident.

Po našem mišljenju, takav alat bi mogao biti Belkasoft Evidence Center (o tome smo već govorili u članak Igor Mihajlov „Ključ za početak: najbolji softver i hardver za kompjutersku forenziku“). Stoga smo zajedno sa Belkasoftom razvili dva kursa obuke: Belkasoft digitalna forenzika и Belkasoft Incident Response Examination.

VAŽNO: kursevi su sekvencijalni i međusobno povezani! Belkasoft Digital Forensics je posvećen programu Belkasoft Evidence Center, a Belkasoft Incident Response Examination posvećen je istraživanju incidenata koji koriste Belkasoft proizvode. To jest, prije proučavanja kursa Belkasoft Incident Response Examination, toplo preporučujemo da završite kurs Belkasoft digitalne forenzike. Ako odmah počnete sa kursom o istragama incidenata, student može imati neugodne praznine u znanju u korištenju Belkasoft Evidence Centra, pronalaženju i ispitivanju forenzičkih artefakata. To može dovesti do činjenice da tokom obuke na kursu Belkasoft Incident Response Examination, student ili neće imati vremena da savlada gradivo, ili će usporiti ostatak grupe u sticanju novih znanja, jer će vrijeme obuke biti potrošeno od strane trenera koji objašnjava materijal sa kursa Belkasoft Digital Forensics.

Računalna forenzika sa Belkasoft Evidence Centrom

Svrha kursa Belkasoft digitalna forenzika — upoznajte studente sa programom Belkasoft Evidence Center, naučite ih da koriste ovaj program za prikupljanje dokaza iz različitih izvora (pohrana u oblaku, memorija sa slučajnim pristupom (RAM), mobilni uređaji, mediji za skladištenje (tvrdi diskovi, fleš diskovi, itd.), master osnovne forenzičke tehnike i tehnike, metode forenzičkog ispitivanja Windows artefakata, mobilnih uređaja, RAM deponija. Također ćete naučiti identificirati i dokumentirati artefakte pretraživača i programa za razmjenu trenutnih poruka, kreirati forenzičke kopije podataka iz različitih izvora, ekstrahirati podatke o geolokaciji i pretraživati za tekstualne sekvence (pretraga po ključnim riječima), koristiti hešove prilikom istraživanja, analizirati Windows registar, ovladati vještinama istraživanja nepoznatih SQLite baza podataka, osnovama pregleda grafičkih i video datoteka i analitičkim tehnikama koje se koriste tokom istraživanja.

Kurs će biti koristan stručnjacima sa specijalizacijom iz oblasti kompjuterske tehničke forenzike (računarska forenzika); tehnički stručnjaci koji utvrđuju razloge za uspješan upad, analiziraju lanac događaja i posljedice sajber napada; tehnički stručnjaci koji identifikuju i dokumentuju krađu podataka (curenja) od strane insajdera (internog prekršioca); Stručnjaci za e-Discovery; Osoblje SOC i CERT/CSIRT; zaposleni u informacionoj sigurnosti; entuzijasti kompjuterske forenzike.

Plan kursa:

• Belkasoft Evidence Center (BEC): prvi koraci
• Kreiranje i obrada predmeta u BEC-u
• Prikupite digitalne dokaze za forenzičke istrage s BEC-om

• Korištenje filtera
• Generisanje izveštaja
• Istraživanje o programima za razmjenu trenutnih poruka

• Istraživanje web pretraživača

• Istraživanje mobilnih uređaja
• Ekstrahiranje podataka o geolokaciji

• Traženje tekstualnih sekvenci u padežima
• Ekstrakcija i analiza podataka iz skladišta u oblaku
• Korišćenje obeleživača za isticanje značajnih dokaza pronađenih tokom istraživanja
• Pregled Windows sistemskih datoteka

• Analiza Windows Registry
• Analiza SQLite baza podataka

• Metode oporavka podataka
• Tehnike za ispitivanje RAM dumpova
• Korištenje hash kalkulatora i hash analize u forenzičkim istraživanjima
• Analiza šifriranih datoteka
• Metode za proučavanje grafičkih i video datoteka
• Upotreba analitičkih tehnika u forenzičkim istraživanjima
• Automatizirajte rutinske radnje koristeći ugrađeni programski jezik Belkascripts

• Praktične lekcije

Kurs: Belkasoft Incident Response Examination

Svrha kursa je naučiti osnove forenzičke istrage cyber napada i mogućnosti korištenja Belkasoft Evidence Centra u istrazi. Naučićete o glavnim vektorima savremenih napada na računarske mreže, naučiti da klasifikujete računarske napade na osnovu matrice MITER ATT&CK, primenite algoritme istraživanja operativnog sistema da biste utvrdili činjenicu kompromitovanja i rekonstruisali akcije napadača, naučićete gde se nalaze artefakti koji naznačite koje su datoteke posljednje otvorene, gdje operativni sistem pohranjuje informacije o tome kako su izvršne datoteke preuzete i izvršene, kako su se napadači kretali kroz mrežu i naučite kako ispitati ove artefakte koristeći BEC. Također ćete naučiti koji događaji u sistemskim logovima su od interesa sa stanovišta istrage incidenata i detekcije udaljenog pristupa, te naučiti kako ih istražiti koristeći BEC.

Kurs će biti koristan tehničkim stručnjacima koji utvrđuju razloge za uspješan upad, analiziraju lance događaja i posljedice sajber napada; administratori sistema; Osoblje SOC i CERT/CSIRT; osoblje za sigurnost informacija.

Pregled kursa

Cyber ​​Kill Chain opisuje glavne faze svakog tehničkog napada na žrtvine računare (ili računarsku mrežu) na sljedeći način:

Radnje zaposlenih u SOC-u (CERT, informaciona sigurnost itd.) imaju za cilj sprečavanje uljeza da pristupe zaštićenim informacionim resursima.

Ukoliko napadači ipak prodru u zaštićenu infrastrukturu, onda gore navedene osobe treba da pokušaju da minimiziraju štetu od aktivnosti napadača, utvrde kako je napad izveden, rekonstruišu događaje i redoslijed radnji napadača u kompromitovanoj informacijskoj strukturi i preduzmu mjere za sprječavanje ove vrste napada u budućnosti.

Sljedeće vrste tragova mogu se naći u ugroženoj informacijskoj infrastrukturi, što ukazuje da je mreža (računalo) kompromitirana:

Svi takvi tragovi mogu se pronaći pomoću programa Belkasoft Evidence Center.

BEC ima modul “Incident Investigation” u koji se prilikom analize medija za skladištenje postavljaju informacije o artefaktima koji mogu pomoći istraživaču prilikom istrage incidenata.

BEC podržava ispitivanje glavnih tipova Windows artefakata koji ukazuju na izvršavanje izvršnih datoteka na sistemu koji se istražuje, uključujući Amcache, Userassist, Prefetch, BAM/DAM datoteke, Windows 10 Vremenska linija,analiza sistemskih događaja.

Informacije o tragovima koji sadrže informacije o radnjama korisnika u kompromitovanom sistemu mogu se predstaviti u sljedećem obliku:

Ove informacije, između ostalog, uključuju informacije o pokretanju izvršnih datoteka:

Informacije o pokretanju datoteke 'RDPWInst.exe'.

Informacije o prisutnosti napadača u kompromitovanim sistemima mogu se pronaći u ključevima za pokretanje Windows registra, uslugama, zakazanim zadacima, skriptama za prijavu, WMI itd. Primjeri otkrivanja informacija o napadačima koji su povezani sa sistemom mogu se vidjeti na sljedećim snimcima ekrana:

Ograničavanje napadača pomoću planera zadataka kreiranjem zadatka koji pokreće PowerShell skriptu.

Konsolidacija napadača koristeći Windows Management Instrumentation (WMI).

Konsolidacija napadača pomoću skripte za prijavu.

Kretanje napadača preko kompromitovane računarske mreže može se otkriti, na primjer, analizom Windows sistemskih dnevnika (ako napadači koriste RDP uslugu).

Informacije o otkrivenim RDP vezama.

Informacije o kretanju napadača po mreži.

Tako Belkasoft Evidence Center može pomoći istraživačima da identifikuju kompromitovane računare u napadnutoj računarskoj mreži, pronađu tragove pokretanja malvera, tragove fiksacije u sistemu i kretanja po mreži, kao i druge tragove aktivnosti napadača na kompromitovanim računarima.

Kako provesti takvo istraživanje i otkriti gore opisane artefakte opisano je u kursu Belkasoft Incident Response Examination kursa.

Plan kursa:

• Trendovi cyber napada. Tehnologije, alati, ciljevi napadača
• Korištenje modela prijetnji za razumijevanje napadačevih taktika, tehnika i procedura
• Cyber ​​kill lanac
• Algoritam odgovora na incidente: identifikacija, lokalizacija, generiranje indikatora, traženje novih inficiranih čvorova
• Analiza Windows sistema korišćenjem BEC-a
• Detekcija metoda primarne infekcije, širenja mreže, konsolidacije i mrežne aktivnosti zlonamjernog softvera pomoću BEC-a
• Identifikujte zaražene sisteme i vratite istoriju infekcije koristeći BEC
• Praktične lekcije

FAQGdje se održavaju kursevi?
Kursevi se održavaju u sjedištu Grupe-IB ili na vanjskom mjestu (trening centar). Moguće je da trener putuje na sajtove sa korporativnim klijentima.

Ko vodi nastavu?
Predavači u Group-IB su praktičari sa dugogodišnjim iskustvom u provođenju forenzičkih istraživanja, korporativnih istraga i reagovanja na incidente u vezi sa informacijskom sigurnošću.

Kvalifikacije trenera potvrđuju brojni međunarodni sertifikati: GCFA, MCFE, ACE, EnCE, itd.

Naši treneri lako pronalaze zajednički jezik sa publikom, jasno objašnjavajući i najsloženije teme. Studenti će naučiti mnogo relevantnih i zanimljivih informacija o istraživanju kompjuterskih incidenata, metodama prepoznavanja i suzbijanja kompjuterskih napada, te steći prava praktična znanja koja mogu primijeniti odmah nakon diplomiranja.

Hoće li kursevi pružiti korisne vještine koje nisu povezane sa Belkasoft proizvodima ili će te vještine biti neprimjenjive bez ovog softvera?
Veštine stečene tokom obuke biće korisne bez korišćenja Belkasoft proizvoda.

Šta je uključeno u početno testiranje?

Primarno testiranje je test poznavanja osnova kompjuterske forenzike. Nema planova za testiranje znanja o Belkasoft i Group-IB proizvodima.

Gdje mogu pronaći informacije o obrazovnim kursevima kompanije?

U sklopu edukativnih kurseva, Group-IB obučava stručnjake za reagovanje na incidente, istraživanje zlonamjernog softvera, stručnjake za sajber obavještajne podatke (Threat Intelligence), stručnjake za rad u Sigurnosno-operativnom centru (SOC), specijaliste za proaktivni lov na prijetnje (Threat Hunter) itd. . Dostupna je kompletna lista vlasničkih kurseva iz Group-IB ovdje.

Koje bonuse dobijaju studenti koji završe zajedničke kurseve između Group-IB i Belkasofta?
Oni koji su završili obuku na zajedničkim kursevima između Group-IB i Belkasofta dobiće:

1. potvrdu o završenom kursu;
2. besplatna mjesečna pretplata na Belkasoft Evidence Center;
3. 10% popusta na kupovinu Belkasoft Evidence Centra.

Podsjećamo da prvi kurs počinje u ponedjeljak, 9 septembar, - ne propustite priliku da steknete jedinstveno znanje iz oblasti informacione sigurnosti, kompjuterske forenzike i reagovanja na incidente! Prijava za kurs ovdje.

IzvoriU pripremi članka koristili smo prezentaciju Olega Skulkina „Korišćenje forenzike zasnovane na domaćinu da bismo dobili pokazatelje kompromisa za uspješan odgovor na incidente na temelju obavještajnih podataka“.

izvor: www.habr.com