Gemeinsame Kurse von Group-IB und Belkasoft: Was wir unterrichten und wen wir besuchen werden

Algorithmen und Taktiken zur Reaktion auf Informationssicherheitsvorfälle, Trends bei aktuellen Cyberangriffen, Ansätze zur Untersuchung von Datenlecks in Unternehmen, Erforschung von Browsern und Mobilgeräten, Analyse verschlüsselter Dateien, Extraktion von Geolokalisierungsdaten und Analyse großer Datenmengen – all diese und andere Themen können in neuen gemeinsamen Kursen von Group-IB und Belkasoft studiert werden. Im August haben wir angekündigt der erste Belkasoft Digital Forensics-Kurs, der am 9. September beginnt, und nachdem wir eine große Anzahl von Fragen erhalten hatten, beschlossen wir, detaillierter darüber zu sprechen, was die Studierenden studieren werden, welche Kenntnisse, Kompetenzen und Boni (!) diejenigen erhalten werden, die dies tun das Ende erreichen. Das wichtigste zuerst.

Zwei Alles in einem

Die Idee, gemeinsame Schulungen abzuhalten, entstand, nachdem die Kursteilnehmer der Gruppe IB nach einem Tool fragten, das ihnen bei der Untersuchung kompromittierter Computersysteme und Netzwerke helfen und die Funktionalität verschiedener kostenloser Dienstprogramme kombinieren würde, deren Verwendung wir bei der Reaktion auf Vorfälle empfehlen.

Unserer Meinung nach könnte ein solches Tool Belkasoft Evidence Center sein (wir haben bereits darüber gesprochen). Artikel Igor Mikhailov „Der Schlüssel zum Start: die beste Software und Hardware für die Computerforensik“). Deshalb haben wir zusammen mit Belkasoft zwei Schulungen entwickelt: Digitale Forensik von Belkasoft и Belkasoft Incident Response-Prüfung.

WICHTIG: Die Kurse sind sequentiell und miteinander verbunden! Belkasoft Digital Forensics widmet sich dem Belkasoft Evidence Center-Programm und Belkasoft Incident Response Examination widmet sich der Untersuchung von Vorfällen mit Belkasoft-Produkten. Das heißt, wir empfehlen dringend, vor dem Studium des Belkasoft Incident Response Examination-Kurses den Belkasoft Digital Forensics-Kurs zu absolvieren. Wenn Sie gleich mit einem Kurs über Vorfalluntersuchungen beginnen, kann es sein, dass der Student ärgerliche Wissenslücken bei der Verwendung des Belkasoft Evidence Center und beim Auffinden und Untersuchen forensischer Artefakte hat. Dies kann dazu führen, dass der Student während der Ausbildung im Belkasoft Incident Response Examination-Kurs entweder keine Zeit hat, sich mit dem Stoff vertraut zu machen, oder dass er den Rest der Gruppe beim Erwerb neuer Kenntnisse verlangsamt, da die Ausbildungszeit verschwendet wird durch den Trainer, der das Material aus dem Belkasoft Digital Forensics-Kurs erklärt.

Computerforensik mit Belkasoft Evidence Center

Zweck des Kurses Digitale Forensik von Belkasoft — Einführung der Schüler in das Belkasoft Evidence Center-Programm, Vermittlung der Verwendung dieses Programms zum Sammeln von Beweisen aus verschiedenen Quellen (Cloud-Speicher, Arbeitsspeicher (RAM), mobile Geräte, Speichermedien (Festplatten, Flash-Laufwerke usw.), Master Grundlegende forensische Techniken und Techniken, Methoden zur forensischen Untersuchung von Windows-Artefakten, Mobilgeräten und RAM-Dumps. Sie lernen außerdem, Artefakte von Browsern und Instant-Messaging-Programmen zu identifizieren und zu dokumentieren, forensische Kopien von Daten aus verschiedenen Quellen zu erstellen, Geolokalisierungsdaten zu extrahieren und zu suchen für Textsequenzen (Suche nach Schlüsselwörtern), Verwendung von Hashes bei Recherchen, Analyse der Windows-Registrierung, Beherrschung der Fähigkeiten zur Erkundung unbekannter SQLite-Datenbanken, Grundlagen der Untersuchung von Grafik- und Videodateien sowie Analysetechniken, die bei Untersuchungen verwendet werden.

Der Kurs richtet sich an Experten mit Spezialisierung auf dem Gebiet der technischen Computerforensik (Computerforensik); technische Spezialisten, die die Gründe für einen erfolgreichen Einbruch ermitteln, die Ereigniskette und die Folgen von Cyberangriffen analysieren; technische Spezialisten, die Datendiebstahl (Leaks) durch einen Insider (internen Täter) identifizieren und dokumentieren; E-Discovery-Spezialisten; SOC- und CERT/CSIRT-Mitarbeiter; Mitarbeiter der Informationssicherheit; Enthusiasten der Computerforensik.

Kursplan:

• Belkasoft Evidence Center (BEC): erste Schritte
• Erstellung und Bearbeitung von Fällen im BEC
• Sammeln Sie digitale Beweise für forensische Untersuchungen mit BEC

• Verwendung von Filtern
• Berichterstattung
• Forschung zu Instant-Messaging-Programmen

• Webbrowser-Forschung

• Forschung zu Mobilgeräten
• Geolokalisierungsdaten extrahieren

• Suche nach Textsequenzen in Fällen
• Extrahieren und Analysieren von Daten aus Cloud-Speichern
• Verwenden Sie Lesezeichen, um wichtige Beweise hervorzuheben, die während der Recherche gefunden wurden
• Untersuchung von Windows-Systemdateien

• Windows-Registrierungsanalyse
• Analyse von SQLite-Datenbanken

• Datenwiederherstellungsmethoden
• Techniken zur Untersuchung von RAM-Dumps
• Verwendung des Hash-Rechners und der Hash-Analyse in der forensischen Forschung
• Analyse verschlüsselter Dateien
• Methoden zum Studieren von Grafik- und Videodateien
• Der Einsatz analytischer Techniken in der forensischen Forschung
• Automatisieren Sie Routineaktionen mithilfe der integrierten Programmiersprache Belkascripts

• Praktische Übungen

Kurs: Belkasoft Incident Response-Prüfung

Ziel des Kurses ist es, die Grundlagen der forensischen Untersuchung von Cyberangriffen und die Möglichkeiten des Einsatzes des Belkasoft Evidence Center bei einer Untersuchung zu erlernen. Sie lernen die Hauptvektoren moderner Angriffe auf Computernetzwerke kennen, lernen, Computerangriffe anhand der MITRE ATT&CK-Matrix zu klassifizieren, wenden Betriebssystemforschungsalgorithmen an, um die Tatsache einer Kompromittierung festzustellen und die Aktionen von Angreifern zu rekonstruieren, und erfahren, wo sich Artefakte befinden Geben Sie an, welche Dateien zuletzt geöffnet wurden, wo das Betriebssystem Informationen darüber speichert, wie ausführbare Dateien heruntergeladen und ausgeführt wurden, wie sich Angreifer im Netzwerk bewegten, und erfahren Sie, wie Sie diese Artefakte mithilfe von BEC untersuchen. Sie erfahren außerdem, welche Ereignisse in Systemprotokollen aus Sicht der Vorfalluntersuchung und Fernzugriffserkennung von Interesse sind, und erfahren, wie Sie diese mithilfe von BEC untersuchen.

Der Kurs richtet sich an technische Spezialisten, die die Gründe für einen erfolgreichen Einbruch ermitteln, Ereignisketten und die Folgen von Cyberangriffen analysieren; Systemadministratoren; SOC- und CERT/CSIRT-Mitarbeiter; Informationssicherheitspersonal.

Kursüberblick

Cyber ​​​​Kill Chain beschreibt die Hauptphasen jedes technischen Angriffs auf die Computer (oder das Computernetzwerk) des Opfers wie folgt:

Die Maßnahmen der SOC-Mitarbeiter (CERT, Informationssicherheit usw.) zielen darauf ab, Eindringlinge daran zu hindern, auf geschützte Informationsressourcen zuzugreifen.

Wenn Angreifer tatsächlich in die geschützte Infrastruktur eindringen, sollten die oben genannten Personen versuchen, den durch die Aktivitäten der Angreifer verursachten Schaden zu minimieren, festzustellen, wie der Angriff ausgeführt wurde, die Ereignisse und den Handlungsablauf der Angreifer in der kompromittierten Informationsstruktur zu rekonstruieren und Maßnahmen zu ergreifen Maßnahmen, um solche Angriffe in Zukunft zu verhindern.

Die folgenden Arten von Spuren können in einer kompromittierten Informationsinfrastruktur gefunden werden, die darauf hinweisen, dass das Netzwerk (der Computer) kompromittiert wurde:

Alle diese Spuren können mit dem Belkasoft Evidence Center-Programm gefunden werden.

BEC verfügt über ein Modul „Incident Investigation“, in dem bei der Analyse von Speichermedien Informationen über Artefakte platziert werden, die dem Forscher bei der Untersuchung von Vorfällen helfen können.

BEC unterstützt die Untersuchung der wichtigsten Arten von Windows-Artefakten, die auf die Ausführung ausführbarer Dateien auf dem untersuchten System hinweisen, einschließlich Amcache-, Userassist-, Prefetch- und BAM/DAM-Dateien. Windows 10-Zeitleiste,Analyse von Systemereignissen.

Informationen zu Spuren, die Informationen über Benutzeraktionen in einem kompromittierten System enthalten, können in der folgenden Form dargestellt werden:

Zu diesen Informationen gehören unter anderem Informationen über die Ausführung ausführbarer Dateien:

Informationen zum Ausführen der Datei „RDPWInst.exe“.

Informationen über die Anwesenheit von Angreifern in kompromittierten Systemen finden Sie in Startschlüsseln, Diensten, geplanten Aufgaben, Anmeldeskripts, WMI usw. der Windows-Registrierung. Beispiele für die Erkennung von Informationen über Angreifer, die sich in das System eingeschlichen haben, sind in den folgenden Screenshots zu sehen:

Einschränken von Angreifern mithilfe des Taskplaners durch Erstellen einer Aufgabe, die ein PowerShell-Skript ausführt.

Konsolidierung von Angreifern mithilfe der Windows Management Instrumentation (WMI).

Konsolidierung von Angreifern mithilfe von Anmeldeskripts.

Die Bewegung von Angreifern in einem kompromittierten Computernetzwerk kann beispielsweise durch die Analyse von Windows-Systemprotokollen erkannt werden (sofern die Angreifer den RDP-Dienst nutzen).

Informationen zu erkannten RDP-Verbindungen.

Informationen über die Bewegung von Angreifern im Netzwerk.

Somit kann das Belkasoft Evidence Center Forschern dabei helfen, kompromittierte Computer in einem angegriffenen Computernetzwerk zu identifizieren, Spuren des Starts von Malware, Spuren der Fixierung im System und der Bewegung im Netzwerk sowie andere Spuren von Angreiferaktivitäten auf kompromittierten Computern zu finden.

Wie man eine solche Recherche durchführt und die oben beschriebenen Artefakte erkennt, wird im Belkasoft Incident Response Examination-Schulungskurs beschrieben.

Kursplan:

• Trends bei Cyberangriffen. Technologien, Tools, Ziele von Angreifern
• Verwenden Sie Bedrohungsmodelle, um die Taktiken, Techniken und Verfahren von Angreifern zu verstehen
• Cyber-Kill-Chain
• Algorithmus zur Reaktion auf Vorfälle: Identifizierung, Lokalisierung, Generierung von Indikatoren, Suche nach neuen infizierten Knoten
• Analyse von Windows-Systemen mittels BEC
• Erkennung von Methoden der Primärinfektion, Netzwerkausbreitung, Konsolidierung und Netzwerkaktivität von Malware mithilfe von BEC
• Identifizieren Sie infizierte Systeme und stellen Sie den Infektionsverlauf mithilfe von BEC wieder her
• Praktische Übungen

FAQWo finden die Kurse statt?
Die Kurse finden in der Group-IB-Zentrale oder an einem externen Standort (Schulungszentrum) statt. Es ist möglich, dass ein Trainer zu Standorten von Firmenkunden fährt.

Wer leitet die Kurse?
Die Trainer der Group-IB sind Praktiker mit langjähriger Erfahrung in der Durchführung forensischer Untersuchungen, Unternehmensermittlungen und der Reaktion auf Informationssicherheitsvorfälle.

Die Qualifikationen der Trainer werden durch zahlreiche internationale Zertifikate bestätigt: GCFA, MCFE, ACE, EnCE usw.

Unsere Trainer finden leicht eine gemeinsame Sprache mit dem Publikum und erklären selbst die komplexesten Themen anschaulich. Die Studierenden erfahren viele relevante und interessante Informationen über die Untersuchung von Computervorfällen, Methoden zur Erkennung und Abwehr von Computerangriffen und erwerben echtes Praxiswissen, das sie direkt nach dem Abschluss anwenden können.

Werden die Kurse nützliche Fähigkeiten vermitteln, die nichts mit Belkasoft-Produkten zu tun haben, oder sind diese Fähigkeiten ohne diese Software nicht anwendbar?
Die während der Schulung erworbenen Fähigkeiten werden auch ohne den Einsatz von Belkasoft-Produkten nützlich sein.

Was ist in der Erstprüfung enthalten?

Beim Primärtest handelt es sich um einen Wissenstest über die Grundlagen der Computerforensik. Es ist nicht geplant, Kenntnisse über Belkasoft- und Group-IB-Produkte zu testen.

Wo finde ich Informationen zu den Bildungsangeboten des Unternehmens?

Im Rahmen von Bildungskursen bildet Group-IB Spezialisten für Incident Response, Malware-Forschung, Cyber-Intelligence-Spezialisten (Threat Intelligence), Spezialisten für die Arbeit im Security Operation Center (SOC), Spezialisten für proaktive Bedrohungssuche (Threat Hunter) usw. aus. . Eine vollständige Liste der proprietären Kurse von Group-IB ist verfügbar hier.

Welche Prämien erhalten Studierende, die gemeinsame Kurse zwischen Group-IB und Belkasoft absolvieren?
Diejenigen, die eine Ausbildung in gemeinsamen Kursen zwischen Group-IB und Belkasoft abgeschlossen haben, erhalten:

1. Bescheinigung über den Abschluss des Kurses;
2. kostenloses monatliches Abonnement für Belkasoft Evidence Center;
3. 10 % Rabatt auf den Kauf von Belkasoft Evidence Center.

Wir erinnern Sie daran, dass der erste Kurs am Montag beginnt, 9 September, - Verpassen Sie nicht die Gelegenheit, einzigartige Kenntnisse im Bereich Informationssicherheit, Computerforensik und Reaktion auf Vorfälle zu erwerben! Anmeldung zum Kurs hier.

QuellenBei der Vorbereitung des Artikels haben wir die Präsentation von Oleg Skulkin „Einsatz hostbasierter Forensik zur Ermittlung von Kompromittierungsindikatoren für eine erfolgreiche nachrichtendienstliche Reaktion auf Vorfälle“ verwendet.

Source: habr.com