Informazioaren segurtasuneko gorabeherei erantzuteko algoritmoak eta taktikak, egungo ziber-erasoen joerak, enpresetan datuen ihesak ikertzeko planteamenduak, arakatzaileak eta gailu mugikorrak ikertzeko, enkriptatutako fitxategiak aztertzeko, geokokapen datuak ateratzeko eta datu handien bolumenen analisiak - horiek guztiak eta beste gai batzuk izan daitezke. Group-IB eta Belkasoft-en bateratutako ikastaro berrietan aztertuko da. Abuztuan guk Irailaren 9an hasiko den Belkasoft Digital Forensics lehen ikastaroa, eta, galdera ugari jasota, ikasleek zer ikasiko duten zehatzago kontatzea erabaki dugu, zein ezagutza, gaitasun eta hobari (!) jasoko dituzten horiek. amaierara iristen direnak. Dena ordenatuta.
Bi guztiak batean
Prestakuntza-ikastaro bateratuak egiteko ideia Talde-IB ikastaroetako parte-hartzaileek konprometitutako sistema eta sare informatikoen ikerketan lagunduko zien tresna bati buruz galdetzen hasi eta gomendatzen ditugun doako utilitate ezberdinen funtzionaltasuna konbinatzen hasi ostean agertu zen. intzidentziaren erantzunean erabilita.
Gure ustez, Belkasoft Evidence Center horrelako tresna bat izan daiteke (dagoeneko hitz egin dugu horretaz Igor Mikhailov "Hasteko gakoa: ordenagailu forentserako software eta hardware onena"). Horregatik, Belkasoftekin batera, bi prestakuntza-ikastaro garatu ditugu: Belkasoft Digital Forensics ΠΈ Belkasoft Gorabeheren Erantzun Azterketa.
GARRANTZITSUA: ikastaroak sekuentzialak eta elkarri lotuta daude! Belkasoft Digital Forensics Belkasoft Evidence Center programara dedikatzen da, eta Belkasoft Incident Response Examination gertakarien ikerketara dedikatzen da Belkasoft produktuak erabiliz. Hau da, Belkasoft Incident Response Examination ikastaroa ikasi aurretik, Belkasoft Digital Forensics ikastaroa egitea gomendatzen dizugu. Gertaerak ikertzeko ikastaroarekin berehala hasten bazara, ikasleak ezagutza hutsune gogaikarria izan dezake Belkasoft Evidence Center erabiltzean, auzitegiko artefaktuak aurkitzeko eta ikertzeko. Honek Belkasoft Intzidentziaren Erantzun Azterketa ikastaroan zehar ikasleak materiala menperatzeko astirik ez izatea edo gainerako taldekideak moteldu egingo ditu ezagutza berriak lortzeko, prestakuntza-denbora irakasleak gastatuko baitu. prestatzailea Belkasoft Digital Forensics ikastaroko materiala azaltzen.
Ordenagailu forentsea Belkasoft Evidence Centerrekin
Ikastaroaren xedea Belkasoft Digital Forensics β Ikasleei Belkasoft Evidence Center programa ezagutaraztea, programa hau nola erabili hainbat iturritatik frogak biltzeko (hodeiko biltegiratzea, ausazko sarbideko memoria (RAM), gailu mugikorrak, biltegiratze euskarriak (disko gogorrak, flash unitateak, etab.) , oinarrizko auzitegi-teknikak eta teknikak menperatzea, Windows-eko artefaktuen, gailu mugikorren, memoria-zabortegien ikerketa forentsearen metodoak Arakatzailea eta berehalako mezularitzako artefaktuak identifikatzen eta dokumentatzen ikasiko duzu, hainbat iturritatik datuen kopia forentseak sortzen, geokokapen datuak atera eta bilatzen testu-sekuentzietarako (bilatu gako-hitzen arabera), erabili hashak ikerketetan, Windows-eko erregistroa aztertu, SQLite datu-base ezezagunak ikertzeko trebetasunak ikasi, grafiko eta bideo-fitxategiak ikertzeko oinarriak eta ikerketetan erabiltzen diren analisi-teknikak.
Ikastaroa informatika-teknikoen arloan (informatika espezializazioa) espezializazioa duten adituentzat erabilgarria izango da; Intrusio arrakastatsu baten arrazoiak zehazten dituzten espezialista teknikoak, gertaeren katea eta zibererasoen ondorioak aztertzen dituztenak; Insider batek (barneko arau-hausleak) datuen lapurreta (filtrazioa) identifikatzen eta dokumentatzen duten espezialista teknikoak; e-Discovery espezialistak; SOC eta CERT/CSIRT langileak; informazioaren segurtasuneko arduradunak; informatikako auzitegiaren zaleak.
Ikastaroaren plana:
- Belkasoft Evidence Center (BEC): lehen urratsak
- BECen kasuak sortzea eta izapidetzea
- Ebidentzia Digitalak BECekin ikerketa forentse batean biltzea
- Iragazkiak erabiliz
- Txostenak
- Berehalako mezularitzako programak arakatzea
- Web arakatzaileen ikerketa
- Ikerketa mugikorra
- Geokokapen datuak ateratzea
- Bilatu testu-sekuentziak kasuetan
- Hodeiko biltegietatik datuak ateratzea eta aztertzea
- Laster-markak erabiltzea ikerketan aurkitutako froga esanguratsuak nabarmentzeko
- Windows sistemaren fitxategiak aztertzea
- Windows erregistroaren azterketa
- SQLite datu-basearen azterketa
- Datuak berreskuratzeko metodoak
- RAM hondakinak aztertzeko teknikak
- Hash kalkulagailua eta hash analisia erabiltzea auzitegi-ikerketetan
- Enkriptatutako fitxategien analisia
- Fitxategi grafikoak eta bideoak ikertzeko metodoak
- Teknika analitikoak erabiltzea auzitegi-ikerketan
- Ohiko ekintzen automatizazioa Belkascripts programazio-lengoaia integratua erabiliz
- Ariketa praktikoak
Ikastaroa: Belkasoft Gorabeheren Erantzunaren Azterketa
Ikastaroaren helburua ziber-erasoen ikerketa forentsearen oinarriak eta Belkasoft Evidence Center ikerketan erabiltzeko aukerak ikastea da. Sare informatikoen aurkako eraso modernoen bektore nagusiak ezagutuko dituzu, MITRE ATT & CK matrizean oinarritutako eraso informatikoak nola sailkatzen ikasiko duzu, sistema eragilearen ikerketa algoritmoak aplikatuko dituzu konpromezua ezartzeko eta erasotzaileen ekintzak berreraikitzeko, nondik norakoak ezagutuko dituzu. azken fitxategiak zeintzuk diren ireki diren adierazten duten artefaktuak kokatzen dira, non sistema eragileak fitxategi exekutagarriak kargatzeari eta exekutatzeari buruzko informazioa gordetzen duen, erasotzaileak sarean nola mugitu ziren eta artefaktu horiek BEC erabiliz arakatzen ikasten duten. Gertaerak ikertzeko eta urruneko sarbidea zehazteko interesgarri diren syslog-eko gertaerak ere ikasiko duzu, eta BEC erabiliz nola ikertu ikasiko duzu.
Intrusio arrakastatsu baten arrazoiak zehazten dituzten, gertaeren katea eta zibererasoen ondorioak aztertzen dituzten espezialista teknikoentzat erabilgarria izango da ikastaroa; sistema administratzaileak; SOC eta CERT/CSIRT langileak; informazioaren segurtasuneko langileak.
Ikastaroaren ikuspegi orokorra
Cyber ββββKill Chain-ek honela deskribatzen ditu biktimaren ordenagailuetan (edo ordenagailu sarean) edozein eraso teknikoren etapa nagusiak:
SOCeko langileen ekintzek (CERT, informazioaren segurtasuna, etab.) erasotzaileek babestutako informazio-baliabideetara sar ez daitezen dute helburu.
Intrusoak, hala ere, babestutako azpiegituran sartu badira, goiko pertsonak erasotzaileen jardueren kalteak gutxitzen saiatu beharko lirateke, erasoa nola burutu zen zehaztu, erasotzaileen gertaerak eta ekintza-sekuentzia arriskuan jarritako informazio-egituran berreraiki eta. etorkizunean mota honetako erasoak saihesteko neurriak hartzea.
Konprometituta dagoen informazio azpiegitura batean, sarearen (ordenagailuaren) konpromezua adierazten duten aztarna mota hauek aurki daitezke:
Horrelako arrasto guztiak Belkasoft Evidence Center erabiliz aurki daitezke.
BECek "Intzidenteen Ikerketa" modulu bat du, non, biltegiratze euskarria aztertzean, artefaktuei buruzko informazioa jartzen den, ikertzaileari gertakariak ikertzen lagun diezaiokeen.
BECek ikertzen ari den sisteman fitxategi exekutagarriak abiarazten direla adierazten duten Windows artefaktu mota nagusien azterketa onartzen du, besteak beste, Amcache, Userassist, Prefetch, BAM/DAM, , sistemaren gertaeren azterketa.
Erabiltzaileen ekintzei buruzko informazioa duten arrastoei buruzko informazioa arriskuan jarritako sistema batean aurkez daiteke forma honetan:
Informazio honek, besteak beste, fitxategi exekutagarrien abiarazteari buruzko informazioa biltzen du:
'RDPWInst.exe' fitxategia exekutatzeko informazioa.
Sistema arriskutsuetan geratzen diren erasotzaileei buruzko informazioa Windows erregistroko abiarazte-gakoetan, zerbitzuetan, programatutako zereginetan, Saioa hasteko gidoietan, WMI-n eta abarretan aurki daiteke. Erasotzaile baten sisteman ainguratzeko informazioa detektatzeko adibideak pantaila-argazki hauetan ikus daitezke:
Erasotzaileak ataza-antolatzailea erabiliz ainguratzea, PowerShell script bat exekutatzen duen zeregin bat sortuz.
Erasotzaileak konpontzea Windows Management Instrumentation (WMI) erabiliz.
Erasotzaileak ainguratzea Saioa hasteko gidoiarekin.
Konprometitutako sare informatiko batean erasotzaileen mugimendua hauteman daiteke, adibidez, Windows sistemaren erregistroak aztertuz (erasotzaileek RDP zerbitzua erabiltzen dutenean).
Detektaturiko RDP konexioei buruzko informazioa.
Erasotzaileek sarean zehar egiten duten mugimenduari buruzko informazioa.
Horrela, Belkasoft Evidence Center-ek ikertzaileei lagun diezaieke erasotutako ordenagailu-sare batean konprometitutako ordenagailuak identifikatzen, malware abiarazteen aztarnak, sisteman konpontzearen eta sarean mugitzearen aztarnak eta erasotzaileen jardueren beste arrasto batzuk konprometitutako ordenagailuetan aurkitzen.
Azterketa horiek nola egin eta goian deskribatutako artefaktuak nola detektatu Belkasoft Intzidentziaren Erantzunaren Azterketa prestakuntza ikastaroan azaltzen da.
Ikastaroaren plana:
- Zibererasoen joerak. Teknologiak, tresnak, erasotzaileen helburuak
- Mehatxu ereduak erabiltzea erasotzaileen taktikak, teknikak eta prozedurak ulertzeko
- Cyber ββββhilketa katea
- Gorabeheren erantzuteko algoritmoa: identifikatzea, lokalizazioa, adierazleak sortzea, kutsatutako nodo berrien bilaketa.
- Windows sistemak BECekin aztertzea
- Lehen infekzio-metodoen identifikazioa, sarearen hedapena, iraunkortasuna, malwarearen sareko jarduera BEC erabiliz
- Kutsatutako sistemak identifikatzea eta infekzioen historia berreskuratzea BEC erabiliz
- Ariketa praktikoak
ohiko galderakNon egiten dira ikastaroak?
Ikastaroak Talde-IBren egoitzan edo kanpoko gune batean egiten dira (prestakuntza zentroan). Entrenatzailea plataformetan irtetea posible da bezero korporatiboetara.
Nork zuzentzen ditu klaseak?
Group-IB-ko trebatzaileak auzitegi-ikerketetan, ikerketa korporatiboetan eta informazio-segurtasuneko gertakarien erantzunetan urte askotako esperientzia duten profesionalak dira.
Prestatzaileen titulazioa nazioarteko ziurtagiri ugarik berresten dute: GCFA, MCFE, ACE, EnCE, etab.
Gure prestatzaileek erraz aurkitzen dute entzuleekin hizkuntza komun bat, gai konplexuenak ere modu eskuragarrian azalduz. Ikasleek informazio garrantzitsu eta interesgarri asko ikasiko dute gertakari informatikoen ikerketari buruz, eraso informatikoei detektatzeko eta aurre egiteko metodoei buruz, benetako ezagutza praktikoak jasoko dituzte, gradua amaitu eta berehala aplika ditzaketenak.
Ikastaroek Belkasoft produktuekin zerikusirik ez duten trebetasun erabilgarriak emango al dituzte, edo gaitasun horiek ezin izango dira aplikatu software hau gabe?
Entrenamenduetan lortutako gaitasunak erabilgarriak izango dira Belkasoft produktuak erabili gabe ere.
Zer sartzen da hasierako probetan?
Lehen mailako proba informatika forentsearen oinarrizko ezagutza proba bat da. Ez da aurreikusita Belkasoft eta Group-IB produktuen ezagutza probatzea.
Non aurki dezaket enpresaren hezkuntza-ikastaroei buruzko informazioa?
Hezkuntza-ikastaroen esparruan, Group-IB-k gertakariei erantzuteko espezialistak prestatzen ditu, malwarearen ikerketan, ziber-adimeneko espezialistak (Threat Intelligence), Security Operation Center (SOC) lanerako espezialistak, mehatxuen bilaketa proaktiboko espezialistak (Threat Hunter), etab. . Talde-IBko egile-ikastaroen zerrenda osoa dago eskuragarri .
Zein hobari jasotzen dituzte Group-IB eta Belkasoft-en baterako ikastaroak egiten dituzten ikasleek?
Group-IB eta Belkasoft-en baterako ikastaroak egin dituztenek jasoko dute:
- ikastaroa amaitutako ziurtagiria;
- Belkasoft Evidence Center-erako hileroko doako harpidetza;
- % 10eko deskontua Belkasoft Evidence Center erosteagatik.
Gogorarazten dizuegu astelehenean hasiko dela lehen ikastaroa, 9 irailaren, β ez galdu informazioaren segurtasunaren, auzitegi informatikoaren eta gertakarien erantzunaren arloan ezagutza paregabea lortzeko aukera! Ikastarorako izen-ematea .
iturriArtikulua prestatzerakoan, Oleg Skulkin-en "Ostalari-oinarritutako forentsea erabiltzea adimenak bultzatutako gertakarien erantzun arrakastatsurako konpromisoaren adierazleak lortzeko" aurkezpena erabili zen.
Iturria: www.habr.com