
Algorithmen und Taktiken zur Reaktion auf Vorfälle der Informationssicherheit, Trends aktueller Cyberangriffe, Ansätze zur Untersuchung von Datenlecks in Unternehmen, Forschung zu Browsern und mobilen Geräten, Analyse verschlüsselter Dateien, Datenextraktion von Geolokalisierung und Analyse großer Datenmengen – all diese und weitere Themen können in den neuen gemeinsamen Kursen von Group-IB und Belkasoft erforscht werden. Im August haben wir zum Belkasoft Digital Forensics-Kurs gemacht, der bereits am 9. September startet. Angesichts der zahlreichen eingehenden Fragen haben wir uns entschlossen, genauer zu erklären, was die Teilnehmer lernen werden, welche Kenntnisse, Kompetenzen und Boni (!) diejenigen erhalten, die bis zum Ende durchhalten. Alles der Reihe nach.
Zwei in Eins
Die Idee, gemeinsame Schulungskurse anzubieten, entstand, nachdem die Teilnehmer der Kurse von Group-IB nach einem Tool gefragt hatten, das ihnen bei der Untersuchung kompromittierter Computersysteme und Netzwerke hilft und die Funktionalität verschiedener kostenloser Tools vereint, die wir während der Reaktionen auf Vorfälle empfehlen.
Wir sind der Meinung, dass ein solches Werkzeug das Belkasoft Evidence Center sein könnte (darüber haben wir bereits in Igor Michailows „Der Schlüssel zum Start: Die besten Software- und Hardwarelösungen für die Computerkriminalistik“ berichtet). Daher haben wir gemeinsam mit Belkasoft zwei Schulungskurse entwickelt: Belkasoft Digitale Forensik und Belkasoft Untersuchung der Vorfälle.
WICHTIG: Die Kurse bauen aufeinander auf und sind miteinander verbunden! Belkasoft Digital Forensics widmet sich dem Programm Belkasoft Evidence Center, während Belkasoft Incident Response Examination sich mit der Untersuchung von Vorfällen unter Verwendung der Produkte von Belkasoft beschäftigt. Daher empfehlen wir dringend, vor dem Besuch des Kurses Belkasoft Incident Response Examination den Kurs Belkasoft Digital Forensics zu absolvieren. Wenn man sofort mit dem Kurs über die Untersuchung von Vorfällen beginnt, kann es zu bedauerlichen Wissenslücken im Umgang mit Belkasoft Evidence Center sowie beim Finden und Analysieren von forensischen Artefakten kommen. Dies kann dazu führen, dass die Lernenden während des Kurses Belkasoft Incident Response Examination entweder mit dem Material nicht Schritt halten können oder den Rest der Gruppe bei der Aneignung neuer Kenntnisse verzögern, da die Schulungszeit des Trainers für die Erklärung der Inhalte aus dem Kurs Belkasoft Digital Forensics verwendet wird.
Computerforensik mit Belkasoft Evidence Center
Ziel des Kurses Belkasoft Digitale Forensik — Teilnehmer mit dem Belkasoft Evidence Center vertrautmachen und ihnen beibringen, wie sie diese Software zur Beweissicherung aus verschiedenen Quellen (Cloud-Speicher, RAM, mobilen Geräten, Speichermedien wie Festplatten und USB-Sticks usw.) nutzen. Sie werden grundlegende forensische Techniken und Methoden zur Untersuchung von Artefakten in Windows, mobilen Geräten und RAM-Dumps erlernen. Zudem erfahren Sie, wie man Artefakte aus Browsern und Instant Messaging-Programmen identifiziert und dokumentiert, forensische Kopien von Daten aus unterschiedlichen Quellen erstellt, Geolokalisierungsdaten extrahiert und Textsequenzen (Schlüsselwortsuche) durchführt, Hashwerte in Untersuchungen verwendet, die Windows-Registry analysiert sowie Kenntnisse in der Forschung zu unbekannten SQLite-Datenbanken erwirbt. Sie werden auch Grundlagen über die Analyse von Grafik- und Videodateien sowie analytische Techniken lernen, die bei Ermittlungen angewendet werden.
Dieser Kurs richtet sich an Fachleute mit einer Spezialisierung auf computertechnische Expertise; technische Spezialisten, die die Ursachen erfolgreicher Eindringlinge ermitteln, Ereignisstränge und die Folgen von Cyberangriffen analysieren; technische Experten, die Datenverluste durch Insider ermitteln und dokumentieren; e-Discovery-Spezialisten; Mitarbeiter von SOC und CERT/CSIRT; Sicherheitsbeauftragte; und Enthusiasten der Computerforensik.
Kursübersicht:
- Belkasoft Evidence Center (BEC): Erste Schritte
- Erstellung und Bearbeitung von Fällen in BEC
- Sammlung digitaler Beweise im Rahmen einer forensischen Untersuchung mit BEC

- Filter verwenden
- Berichte erstellen
- Untersuchung von Instant Messaging Anwendungen

- Untersuchung von Webbrowsern

- Untersuchung von mobilen Geräten
- Extraktion von Geolokalisierungsdaten

- Suche nach Textsequenzen in Fällen
- Extraktion und Analyse von Daten aus Cloud-Speichern
- Verwendung von Lesezeichen zur Hervorhebung relevanter Beweise, die während der Untersuchung gefunden wurden
- Untersuchung von Windows-Systemdateien

- Analyse des Windows-Registrys
- Analyse von SQLite-Datenbanken

- Datenwiederherstellungsmethoden
- Techniken zur Untersuchung von RAM-Dumps
- Verwendung von Hash-Rechnern und Hash-Analysen in der forensischen Untersuchung
- Analyse von verschlüsselten Dateien
- Methoden zur Untersuchung von Bild- und Videodateien
- Einsatz analytischer Techniken in forensischen Untersuchungen
- Automatisierung routinierter Aufgaben mit der integrierten Programmiersprache Belkascripts

- Praktische Übungen
Kurs: Belkasoft Incident Response Examination
Ziel des Kurses ist es, die Grundlagen der forensischen Untersuchung von Cyberangriffen zu erlernen und die Einsatzmöglichkeiten von Belkasoft Evidence Center bei Ermittlungen zu verstehen. Sie erfahren mehr über die gängigen Angriffsvektoren auf Computernetzwerke, lernen, Cyberangriffe anhand der MITRE ATT&CK-Matrix zu klassifizieren, und können Algorithmen zur Analyse von Betriebssystemen anwenden, um den Kompromittierungsstatus festzustellen und die Handlungen der Angreifer nachzuvollziehen. Sie werden herausfinden, wo Artefakte zu finden sind, die darauf hinweisen, welche Dateien zuletzt geöffnet wurden, wo im Betriebssystem Informationen über das Laden und Ausführen von ausführbaren Dateien gespeichert sind, wie sich die Angreifer im Netzwerk bewegt haben und lernen, wie man diese Artefakte mit BEC untersucht. Außerdem erfahren Sie, welche Ereignisse in den Systemprotokollen von Interesse sind, um Vorfälle zu untersuchen und festzustellen, ob ein Fernzugriff stattgefunden hat, und lernen, diese mit BEC zu analysieren.
Der Kurs ist nützlich für technische Fachkräfte, die die Ursachen für erfolgreiche Eindringlinge ermitteln, Ereignisstränge und Auswirkungen von Cyberangriffen analysieren; Systemadministrator:innen; Mitarbeitende von SOC und CERT/CSIRT; Mitarbeitende der Informationssicherheit.
Kursübersicht
Die Cyber Kill Chain beschreibt die grundlegenden Schritte eines jeden technischen Angriffs auf die Computer (oder das Computernetzwerk) des Opfers wie folgt:

Die Maßnahmen von SOC-Mitarbeitenden (CERT, Informationssicherheit usw.) zielen darauf ab, zu verhindern, dass Angreifer auf die geschützten Informationsressourcen zugreifen.
Sollten Angreifer dennoch in die geschützte Infrastruktur eindringen, müssen die oben genannten Personen versuchen, den Schaden durch die Angreifer zu minimieren, herauszufinden, wie der Angriff ausgeführt wurde, die Ereignisse und die Vorgehensweise der Angreifer in der kompromittierten Informationsstruktur zu rekonstruieren und Maßnahmen zur Verhinderung ähnlicher Angriffe in Zukunft zu ergreifen.
In einer kompromittierten Informationsinfrastruktur können folgende Arten von Spuren gefunden werden, die auf eine Kompromittierung des Netzwerks (des Computers) hinweisen:

Alle solchen Spuren können mit der Software Belkasoft Evidence Center gefunden werden.
Im BEC gibt es ein Modul für die 'Untersuchung von Vorfällen', in das während der Analyse von Informationsspeichern Informationen über Artefakte eingefügt werden, die dem Ermittler bei der Untersuchung von Vorfällen helfen können.

BEC unterstützt die Untersuchung der wichtigsten Arten von Windows-Artefakten, die auf die Ausführung von ausführbaren Dateien im untersuchten System hinweisen, einschließlich Amcache-, Userassist-, Prefetch-, BAM/DAM-Dateien. , Analysieren von Systemereignissen.
Informationen über Spuren, die Daten zu Benutzeraktionen in einem kompromittierten System enthalten, können in der folgenden Form dargestellt werden:

Diese Informationen beinhalten unter anderem Details zur Ausführung von ausführbaren Dateien:
Informationen über die Ausführung der Datei 'RDPWInst.exe'.
Informationen über die Persistenz von Angreifern in kompromittierten Systemen können in den Windows-Registry-Startschlüsseln, Diensten, geplanten Aufgaben, Anmeldeskripten, WMI usw. gefunden werden. Beispiele für die Erkennung von Informationen über die Persistenz von Angreifern im System sind auf den folgenden Screenshots sichtbar:
Feststellung von Angreifern unter Verwendung des Taskplaners durch die Erstellung einer Aufgabe, die ein PowerShell-Skript ausführt.
Feststellung von Angreifern mithilfe von Windows-Verwaltungstools (Windows Management Instrumentation, WMI).
Feststellung von Angreifern durch Anmeldeskripte.
Die Bewegung von Angreifern in einem kompromittierten Computernetzwerk kann beispielsweise durch die Analyse von Windows-Systemprotokollen entdeckt werden (bei Nutzung des RDP-Dienstes durch die Angreifer).
Informationen über entdeckte RDP-Verbindungen.
Informationen zur Bewegung von Angreifern im Netzwerk.
So kann Belkasoft Evidence Center Forschern helfen, kompromittierte Computer in einem angegriffenen Computernetzwerk zu identifizieren, Spuren von Malware-Starts zu finden, Hinweise auf Feststellungen im System und Bewegungen im Netzwerk sowie andere Aktivitäten der Angreifer auf kompromittierten Computern aufzuspüren.
Wie man solche Untersuchungen durchführt und die oben beschriebenen Artefakte erkennt, wird im Belkasoft Incident Response Examination Training behandelt.
Kursübersicht:
- Trends bei Cyberangriffen. Technologien, Werkzeuge, Ziele der Angreifer.
- Die Nutzung von Bedrohungsmodellen zur Analyse von Taktiken, Techniken und Verfahren von Angreifern
- Cyber-Kill-Chain
- Incident Response-Algorithmus: Identifikation, Lokalisierung, Erstellung von Indikatoren, Suche nach neuen infizierten Knoten
- Analyse von Windows-Systemen mit BEC
- Aufdeckung von Infektionsmethoden, laterale Verbreitung, Persistenz und Netzwerkaktivität von Malware mittels BEC
- Identifikation infizierter Systeme und Rekonstruktion der Infektionschronologie durch BEC
- Praktische Übungen
FAQWo finden die Schulungen statt?
Die Schulungen werden in der Zentrale von Group-IB oder an externen Standorten (in einem Trainingszentrum) durchgeführt. Ein Trainer kann auch zu den Räumlichkeiten der Unternehmenskunden reisen.
Wer leitet die Schulungen?
Die Trainer bei Group-IB sind Praktiker mit langjähriger Erfahrung in der Durchführung von forensischen Untersuchungen, Unternehmensermittlungen und der Reaktion auf Sicherheitsvorfälle.
Die Qualifikation der Trainer wird durch zahlreiche internationale Zertifikate bestätigt: GCFA, MCFE, ACE, EnCE usw.
Unsere Trainer finden leicht einen Draht zum Publikum und erklären selbst die komplexesten Themen verständlich. Die Teilnehmer erhalten viele relevante und interessante Informationen über die Untersuchung von Computervorfällen, Methoden zur Identifizierung und Bekämpfung von Cyberangriffen sowie praktische Kenntnisse, die sie sofort nach Abschluss der Schulung anwenden können.
Werden die Kurse nützliche Fähigkeiten vermitteln, die nicht mit Belkasoft-Produkten verbunden sind, oder sind diese Fähigkeiten ohne diese Software nicht anwendbar?
Die während der Schulungen erworbenen Fähigkeiten sind auch ohne den Einsatz von Belkasoft-Produkten nützlich.
Was gehört zum grundlegenden Test?
Der grundlegende Test ist ein Wissenscheck über die Grundlagen der Computerforensik. Ein Test zu den Produkten der Unternehmen Belkasoft und Group-IB ist nicht vorgesehen.
Wo kann man Informationen über die Bildungskurse des Unternehmens finden?
Im Rahmen der Ausbildungskurse bereitet Group-IB Fachkräfte für die Incident Response, die Analyse von Malware, Cyber-Intelligence-Experten, Mitarbeiter für Security Operation Centers (SOC), Fachleute für proaktive Bedrohungssuche (Threat Hunter) usw. vor. Eine vollständige Liste der Autorenkurse von Group-IB ist verfügbar. .
Welche Vorteile erhalten Teilnehmer, die die gemeinsamen Kurse von Group-IB und Belkasoft abgeschlossen haben?
Teilnehmer, die an den gemeinsamen Kursen von Group-IB und Belkasoft teilgenommen haben, erhalten:
- ein Teilnahmezertifikat;
- ein kostenloses monatliches Abonnement für das Belkasoft Evidence Center;
- einen Rabatt von 10% beim Erwerb des Belkasoft Evidence Center.
Wir erinnern daran, dass der erste Kurs am Montag beginnt, 9. September, — verpassen Sie nicht die Gelegenheit, einzigartige Kenntnisse im Bereich Informationssicherheit, Computerforensik und Incident Response zu erwerben! Melden Sie sich für den Kurs an. .
QuellenFür die Erstellung des Artikels wurde die Präsentation von Oleg Skulkin „Using host-based forensics to get indicators of compromise for successful intelligence-driven incident response“ verwendet.
Quelle: habr.com
