Group-IB ja Belkasofti ühiskursused: mida me õpetame ja kes tulevad

Infoturbeintsidentidele reageerimise algoritmid ja taktikad, praeguste küberrünnete suundumused, ettevõtetes toimuvate andmelekete uurimise lähenemisviisid, brauserite ja mobiilseadmete uurimine, krüptitud failide analüüsimine, geograafilise asukoha andmete eraldamine ja suurte andmemahtude analüüs – kõik need ja muud teemad saab õppida Group-IB ja Belkasofti uutel ühiskursustel. Augustis me teatas esimene Belkasoft Digital Forensics kursus, mis algab 9. septembril ja olles saanud hulgaliselt küsimusi, otsustasime rääkida lähemalt, mida õpilased õppima hakkavad, milliseid teadmisi, pädevusi ja lisatasusid (!) saavad need, kes saavad lõpuni jõuda. Esimesed asjad kõigepealt.

Kaks Kõik ühes

Idee korraldada ühiseid koolituskursusi tekkis pärast seda, kui Group-IB kursusel osalejad hakkasid küsima tööriista kohta, mis aitaks neil uurida ohustatud arvutisüsteeme ja -võrke ning kombineerida erinevate tasuta utiliitide funktsionaalsust, mida soovitame intsidentidele reageerimisel kasutada.

Meie arvates võiks selliseks tööriistaks olla Belkasofti tõenduskeskus (sellest rääkisime juba aastal siit Igor Mihhailov “Alguse võti: parim tarkvara ja riistvara arvutiekspertiisi jaoks”). Seetõttu oleme koos Belkasoftiga välja töötanud kaks koolituskursust: Belkasofti digitaalne kohtuekspertiis и Belkasofti intsidentidele reageerimise uurimine.

TÄHTIS: kursused on järjestikused ja omavahel seotud! Belkasoft Digital Forensics on pühendatud Belkasoft Evidence Centeri programmile ja Belkasoft Incident Response Examination on pühendatud Belkasofti tooteid kasutades toimunud juhtumite uurimisele. See tähendab, et enne Belkasofti intsidentidele reageerimise eksami kursuse õppimist soovitame tungivalt läbida Belkasofti digitaalse kohtuekspertiisi kursus. Kui alustate kohe intsidentide uurimise kursusega, võib õpilasel tekkida tüütuid lünki Belkasofti tõenduskeskuse kasutamises, kohtuekspertiisi artefaktide leidmises ja uurimises. See võib viia selleni, et Belkasofti intsidentidele reageerimise eksami kursuse koolitusel ei jää õpilasel aega materjali valdamiseks või pidurdab ta ülejäänud grupil uute teadmiste omandamist, kuna koolitusaeg kulub ära. koolitaja poolt Belkasofti digitaalse kohtuekspertiisi kursuse materjali selgitamisel.

Arvuti kohtuekspertiisi Belkasofti tõenduskeskusega

Kursuse eesmärk Belkasofti digitaalne kohtuekspertiis — tutvustada õpilastele Belkasoft Evidence Centeri programmi, õpetada neid kasutama seda programmi tõendite kogumiseks erinevatest allikatest (pilvesalvestus, muutmälu (RAM), mobiilseadmed, andmekandjad (kõvakettad, välkmälud jne), master põhilised kohtuekspertiisi tehnikad ja tehnikad, Windowsi artefaktide, mobiilseadmete, RAM-i prügimägede kohtuekspertiisi meetodid. Samuti õpite tuvastama ja dokumenteerima brauserite ja kiirsuhtlusprogrammide artefakte, looma erinevatest allikatest kohtuekspertiisi koopiaid, eraldama geograafilise asukoha andmeid ja otsima tekstijadade jaoks (otsing märksõnade järgi), kasutage uurimistöö tegemisel räsi, analüüsige Windowsi registrit, omandage tundmatute SQLite'i andmebaaside uurimise oskused, graafiliste ja videofailide uurimise põhitõed ning uuringute käigus kasutatavad analüüsitehnikad.

Kursus on kasulik arvutitehnilise kohtuekspertiisi (arvutikohtuekspertiisi) valdkonnale spetsialiseerunud ekspertidele; tehnilised spetsialistid, kes selgitavad välja eduka sissetungi põhjused, analüüsivad sündmuste ahelat ja küberrünnakute tagajärgi; tehnilised spetsialistid, kes tuvastavad ja dokumenteerivad andmevargusi (lekkeid) siseringi (siserikkuja) poolt; e-Discovery spetsialistid; SOC ja CERT/CSIRT töötajad; infoturbe töötajad; arvutikohtuekspertiisi entusiastid.

Kursuse kava:

• Belkasofti tõenduskeskus (BEC): esimesed sammud
• Juhtumite loomine ja töötlemine BEC-is
• Koguge BEC-iga kohtuekspertiisi uurimise jaoks digitaalseid tõendeid

• Filtrite kasutamine
• Aruandlus
• Kiirsuhtlusprogrammide uurimine

• Veebibrauseri uurimine

• Mobiilseadmete uurimine
• Geograafilise asukoha andmete ekstraheerimine

• Juhtudel tekstijadade otsimine
• Andmete ekstraheerimine ja analüüsimine pilvesalvestustest
• Järjehoidjate kasutamine uurimistöö käigus leitud oluliste tõendite esiletõstmiseks
• Windowsi süsteemifailide uurimine

• Windowsi registri analüüs
• SQLite andmebaaside analüüs

• Andmete taastamise meetodid
• RAM-i prügimägede uurimise tehnikad
• Räsikalkulaatori ja räsianalüüsi kasutamine kohtuekspertiisi uuringutes
• Krüpteeritud failide analüüs
• Graafika- ja videofailide uurimise meetodid
• Analüütiliste tehnikate kasutamine kohtuekspertiisi uurimisel
• Automatiseerige rutiinseid toiminguid, kasutades sisseehitatud Belkascriptsi programmeerimiskeelt

• Praktilised harjutused

Kursus: Belkasofti intsidentidele reageerimise eksam

Kursuse eesmärk on õppida küberrünnakute kohtuekspertiisi uurimise põhitõdesid ja Belkasoft Evidence Centeri kasutamise võimalusi uurimisel. Õpid tundma tänapäevaste arvutivõrkude rünnete peamisi vektoreid, õpid klassifitseerima arvutirünnakuid maatriksi MITER ATT&CK alusel, rakendama operatsioonisüsteemide uurimisalgoritme kompromissi fakti tuvastamiseks ja ründajate tegevuse rekonstrueerimiseks, saad teada, kus asuvad artefaktid, näidata, millised failid avati viimati , kuhu operatsioonisüsteem salvestab teavet selle kohta, kuidas käivitatavaid faile alla laaditi ja käivitati, kuidas ründajad üle võrgu liikusid, ja õppige, kuidas neid artefakte BEC-i abil uurida. Samuti saate teada, millised sündmused süsteemilogides pakuvad huvi intsidentide uurimise ja kaugjuurdepääsu tuvastamise seisukohalt ning kuidas neid BEC-i abil uurida.

Kursus on kasulik tehnikaspetsialistidele, kes selgitavad välja eduka sissetungi põhjused, analüüsivad sündmuste ahelaid ja küberrünnakute tagajärgi; süsteemiadministraatorid; SOC ja CERT/CSIRT töötajad; infoturbe töötajad.

Kursuse ülevaade

Cyber ​​​​Kill Chain kirjeldab ohvri arvutite (või arvutivõrgu) mis tahes tehnilise rünnaku põhietappe järgmiselt:

SOC töötajate tegevused (CERT, infoturve jne) on suunatud sellele, et sissetungijad ei pääseks kaitstud inforessurssidele.

Kui ründajad siiski tungivad kaitstud infrastruktuuri, peaksid ülalnimetatud isikud püüdma minimeerida ründajate tegevusest tulenevat kahju, tegema kindlaks, kuidas rünnak sooritati, rekonstrueerima ründajate sündmused ja tegevuste jada ohustatud teabestruktuuris ning võtma meetmed seda tüüpi rünnakute vältimiseks tulevikus.

Ohustatud teabeinfrastruktuurist võib leida järgmist tüüpi jälgi, mis näitavad, et võrk (arvuti) on rikutud:

Kõik sellised jäljed on leitavad Belkasoft Evidence Centeri programmi abil.

BEC-l on moodul "Intsidentide uurimine", kuhu salvestusmeediumite analüüsimisel paigutatakse teave artefaktide kohta, mis võivad teadlast juhtumite uurimisel aidata.

BEC toetab peamiste Windowsi artefaktide tüüpide uurimist, mis näitavad käivitatavate failide käivitamist uuritavas süsteemis, sealhulgas Amcache, Userassist, Prefetch, BAM/DAM failid, Windows 10 ajaskaala,süsteemi sündmuste analüüs.

Teavet jälgede kohta, mis sisaldavad teavet kasutaja toimingute kohta ohustatud süsteemis, saab esitada järgmisel kujul:

See teave sisaldab muu hulgas teavet täitmisfailide käitamise kohta:

Teave faili RDPWInst.exe käitamise kohta.

Teavet ründajate olemasolu kohta ohustatud süsteemides leiate Windowsi registri käivitusvõtmetest, teenustest, ajastatud ülesannetest, sisselogimisskriptidest, WMI-st jne. Süsteemi külge kinnitatud ründajate teabe tuvastamise näiteid näete järgmistel ekraanipiltidel.

Ründajate piiramine ülesannete ajakava abil, luues ülesande, mis käitab PowerShelli skripti.

Ründajate koondamine Windowsi haldusinstrumentide (WMI) abil.

Ründajate koondamine sisselogimisskripti abil.

Ründajate liikumist üle ohustatud arvutivõrgu saab tuvastada näiteks Windowsi süsteemilogide analüüsimise teel (kui ründajad kasutavad RDP teenust).

Teave tuvastatud RDP ühenduste kohta.

Teave ründajate liikumise kohta võrgus.

Seega saab Belkasofti tõenduskeskus aidata teadlastel tuvastada rünnatud arvutivõrgus ohustatud arvuteid, leida jälgi pahavara käivitamisest, süsteemis fikseerimise ja üle võrgu liikumise jälgi ning muid jälgi ründaja tegevusest ohustatud arvutites.

Seda, kuidas selliseid uuringuid läbi viia ja ülalkirjeldatud artefakte tuvastada, kirjeldatakse Belkasofti intsidentidele reageerimise eksami koolituskursusel.

Kursuse kava:

• Küberrünnakute trendid. Ründajate tehnoloogiad, tööriistad, eesmärgid
• Ohumudelite kasutamine ründaja taktika, tehnika ja protseduuride mõistmiseks
• Kübertapmise kett
• Juhtumile reageerimise algoritm: tuvastamine, lokaliseerimine, indikaatorite genereerimine, uute nakatunud sõlmede otsimine
• Windowsi süsteemide analüüs BEC-i abil
• Pahavara esmase nakatumise, võrgu leviku, konsolideerimise ja võrgutegevuse meetodite tuvastamine BEC-i abil
• Tuvastage nakatunud süsteemid ja taastage nakkuse ajalugu BEC-i abil
• Praktilised harjutused

FAQKus kursused toimuvad?
Kursused toimuvad Group-IB peakorteris või välises kohas (koolituskeskuses). Koolitajal on võimalik reisida äriklientidega objektidele.

Kes tunde läbi viib?
Grupi IB koolitajad on praktikud, kellel on paljude aastate kogemused kohtuekspertiisi uuringute, ettevõtete uurimiste ja infoturbeintsidentidele reageerimise alal.

Koolitajate kvalifikatsiooni kinnitavad arvukad rahvusvahelised sertifikaadid: GCFA, MCFE, ACE, EnCE jne.

Meie koolitajad leiavad publikuga hõlpsasti ühise keele, selgitades selgelt ka kõige keerulisemad teemad. Õpilased saavad palju asjakohast ja huvitavat teavet arvutiintsidentide uurimise, arvutirünnete tuvastamise ja nende vastu võitlemise meetodite kohta ning saavad reaalseid praktilisi teadmisi, mida saab rakendada kohe pärast kooli lõpetamist.

Kas kursused annavad kasulikke oskusi, mis ei ole seotud Belkasofti toodetega, või on need oskused ilma selle tarkvarata rakendamatud?
Koolitusel omandatud oskused tulevad kasuks ilma Belkasofti tooteid kasutamata.

Mis sisaldub esialgses testimises?

Esmane testimine on arvutikohtuekspertiisi põhialuste teadmiste test. Belkasofti ja Group-IB toodete teadmisi pole plaanis testida.

Kust leian infot ettevõtte õppekursuste kohta?

Hariduskursuste raames koolitab Group-IB välja intsidentidele reageerimise, pahavarauuringute spetsialiste, küberluure spetsialiste (Threat Intelligence), spetsialiste tööks Turvaoperatsioonikeskuses (SOC), proaktiivse ohujahi spetsialiste (Threat Hunter) jne. . Saadaval on Group-IB patenteeritud kursuste täielik nimekiri siin.

Milliseid boonuseid saavad õpilased, kes läbivad Group-IB ja Belkasofti ühiskursused?
Need, kes on läbinud koolituse Group-IB ja Belkasofti ühiskursustel, saavad:

1. tunnistus kursuse läbimise kohta;
2. tasuta igakuine Belkasofti tõenduskeskuse tellimus;
3. 10% allahindlust Belkasofti tõenduskeskuse ostmisel.

Tuletame meelde, et esimene kursus algab esmaspäeval, 9 september, - ära jäta kasutamata võimalust saada ainulaadseid teadmisi infoturbe, arvutiekspertiisi ja intsidentidele reageerimise vallas! Kursusele registreerimine siin.

allikatestArtikli ettevalmistamisel kasutasime Oleg Skulkini ettekannet „Hostipõhise kohtuekspertiisi kasutamine edukaks luurepõhiseks intsidentidele reageerimiseks kompromissi näitajate hankimiseks”.

Allikas: www.habr.com