Ryhmä-IB ja Belkasoftin yhteiskurssit: mitä opetamme ja keitä osallistuu

Algoritmit ja taktiikat tietoturvaloukkauksiin reagoimiseksi, nykyisten kyberhyökkäysten trendit, lähestymistavat tietovuotojen tutkimiseen yrityksissä, selainten ja mobiililaitteiden tutkiminen, salattujen tiedostojen analysointi, maantieteellisen sijainnin tietojen purkaminen ja suurten tietomäärien analytiikka - kaikki nämä ja muut aiheet voidaan opiskella Group-IB:n ja Belkasoftin uusilla yhteiskurssilla. Elokuussa me ilmoitti ensimmäisellä Belkasoft Digital Forensics -kurssilla, joka alkaa 9. ja saatuaan paljon kysymyksiä, päätimme keskustella tarkemmin siitä, mitä opiskelijat opiskelevat, mitä tietoja, osaamista ja bonuksia (!) saavat ne, jotka saavat päästä loppuun. Ensimmäiset asiat ensin.

Kaksi Kaikki yhdessä

Ajatus yhteisten koulutuskurssien pitämisestä syntyi sen jälkeen, kun Group-IB-kurssin osallistujat alkoivat kysellä työkalusta, joka auttaisi heitä tutkimaan vaarantuneita tietokonejärjestelmiä ja verkkoja sekä yhdistämään erilaisten ilmaisten apuohjelmien toimintoja, joita suosittelemme käyttämään tapaturmatilanteissa.

Mielestämme tällainen työkalu voisi olla Belkasoft Evidence Center (puhuimme siitä jo vuonna статье Igor Mikhailov “Avain alkuun: paras ohjelmisto ja laitteisto tietokonerikostekniikkaan”). Siksi olemme yhdessä Belkasoftin kanssa kehittäneet kaksi koulutusta: Belkasoft Digital Forensics и Belkasoftin tapausvastaustutkimus.

TÄRKEÄÄ: kurssit ovat peräkkäisiä ja toisiinsa liittyviä! Belkasoft Digital Forensics on omistettu Belkasoft Evidence Center -ohjelmalle ja Belkasoft Incident Response Examination on omistettu Belkasoftin tuotteita käyttävien tapausten tutkimiseen. Eli ennen Belkasoft Incident Response Examination -kurssin opiskelua suosittelemme Belkasoft Digital Forensics -kurssin suorittamista. Jos aloitat heti tapahtumatutkintakurssin, opiskelijalla voi olla ärsyttäviä tietopuutteita Belkasoftin todistekeskuksen käytössä, rikosteknisten esineiden etsimisessä ja tutkimisessa. Tämä voi johtaa siihen, että Belkasoft Incident Response Examination -kurssin koulutuksen aikana opiskelijalla ei joko ole aikaa hallita materiaalia tai hän hidastaa muun ryhmän uuden tiedon hankkimista, koska koulutusaika kuluu. kouluttaja selittää Belkasoft Digital Forensics -kurssin materiaalia.

Tietokoneen rikostekniset tiedot Belkasoft Evidence Centerin kanssa

Kurssin tarkoitus Belkasoft Digital Forensics — esittele opiskelijat Belkasoft Evidence Center -ohjelmasta, opeta heitä käyttämään tätä ohjelmaa todisteiden keräämiseen eri lähteistä (pilvitallennus, käyttömuisti (RAM), mobiililaitteet, tallennusvälineet (kiintolevyt, flash-asemat jne.), master perusrikostekniset tekniikat ja tekniikat, Windows-esineiden, mobiililaitteiden, RAM-kaappien rikosteknisen tutkimisen menetelmät. Opit myös tunnistamaan ja dokumentoimaan selainten ja pikaviestiohjelmien esineitä, luomaan rikosteknisiä kopioita tiedoista eri lähteistä, poimimaan maantieteellisiä tietoja ja tekemään hakuja tekstisekvenssejä varten (haku avainsanoilla), käytä tiivisteitä tutkimustyössä, analysoi Windows-rekisteriä, hallitse tuntemattomien SQLite-tietokantojen tutkimisen taidot, grafiikka- ja videotiedostojen tutkimisen perusteet sekä tutkimuksissa käytetyt analyyttiset tekniikat.

Kurssi on hyödyllinen asiantuntijoille, jotka ovat erikoistuneet tietokonetekniseen rikostekniseen tutkimukseen (tietokoneen rikostekniseen tutkimukseen); tekniset asiantuntijat, jotka määrittävät onnistuneen tunkeutumisen syyt, analysoivat tapahtumaketjua ja kyberhyökkäysten seurauksia; tekniset asiantuntijat, jotka tunnistavat ja dokumentoivat sisäpiiriläisen (sisäisen rikkojan) suorittamia tietovarkauksia (vuotoja); e-Discovery-asiantuntijat; SOC- ja CERT/CSIRT-henkilöstö; tietoturvan työntekijät; tietokonerikoslääketieteen harrastajat.

Kurssisuunnitelma:

• Belkasoft Evidence Center (BEC): ensimmäiset askeleet
• Tapausten luominen ja käsittely BEC:ssä
• Kerää digitaalisia todisteita oikeuslääketieteellisiä tutkimuksia varten BEC:n kanssa

• Suodattimien käyttö
• Raportointi
• Tutkimus pikaviestiohjelmista

• Verkkoselaimen tutkimus

• Mobiililaitteiden tutkimus
• Poimitaan maantieteellisiä tietoja

• Tekstisekvenssien etsiminen tapauksissa
• Tietojen purkaminen ja analysointi pilvitallennustiloista
• Kirjanmerkkien käyttäminen tutkimuksen aikana löydettyjen merkittävien todisteiden korostamiseen
• Windows-järjestelmätiedostojen tutkiminen

• Windowsin rekisterianalyysi
• SQLite-tietokantojen analyysi

• Tietojen palautusmenetelmät
• Tekniikat RAM-vedosten tutkimiseen
• Hajautuslaskimen ja hash-analyysin käyttö oikeuslääketieteellisessä tutkimuksessa
• Salattujen tiedostojen analyysi
• Menetelmät grafiikka- ja videotiedostojen tutkimiseen
• Analyyttisten tekniikoiden käyttö oikeuslääketieteellisessä tutkimuksessa
• Automatisoi rutiinitoiminnot käyttämällä sisäänrakennettua Belkascripts-ohjelmointikieltä

• Käytännön harjoituksia

Kurssi: Belkasoft Incident Response Examination

Kurssin tarkoituksena on oppia kyberhyökkäysten rikosteknisen tutkinnan perusteet ja Belkasoft Evidence Centerin käyttömahdollisuudet tutkinnassa. Opit nykyaikaisten tietokoneverkkojen hyökkäysten päävektorit, opit luokittelemaan tietokonehyökkäykset MITER ATT&CK -matriisin perusteella, soveltamaan käyttöjärjestelmän tutkimusalgoritmeja selvittämään kompromisseja ja rekonstruoimaan hyökkääjien toimia, oppimaan, missä artefaktit sijaitsevat, ilmoittaa, mitkä tiedostot avattiin viimeksi , mihin käyttöjärjestelmä tallentaa tiedot siitä, kuinka suoritettavat tiedostot ladattiin ja suoritettiin, kuinka hyökkääjät liikkuivat verkossa, ja opi tutkimaan näitä artefakteja BEC:n avulla. Opit myös, mitkä järjestelmälokien tapahtumat kiinnostavat tapausten tutkinnan ja etäkäytön havaitsemisen kannalta, ja opit tutkimaan niitä BEC:n avulla.

Kurssi on hyödyllinen teknisille asiantuntijoille, jotka määrittävät onnistuneen tunkeutumisen syyt, analysoivat tapahtumaketjuja ja kyberhyökkäysten seurauksia; järjestelmänvalvojat; SOC- ja CERT/CSIRT-henkilöstö; tietoturvahenkilöstö.

Kurssin yleiskatsaus

Cyber ​​​​Kill Chain kuvaa minkä tahansa uhrin tietokoneisiin (tai tietokoneverkkoon) kohdistuvan teknisen hyökkäyksen päävaiheet seuraavasti:

SOC:n työntekijöiden toimilla (CERT, tietoturva jne.) pyritään estämään tunkeilijoita pääsemästä suojattuihin tietoresursseihin.

Jos hyökkääjät tunkeutuvat suojattuun infrastruktuuriin, edellä mainittujen henkilöiden tulee yrittää minimoida hyökkääjien toiminnasta aiheutuvat vahingot, selvittää, miten hyökkäys toteutettiin, rekonstruoida hyökkääjien tapahtumat ja toimintajärjestys vaarantuneessa tietorakenteessa sekä ryhtyä toimenpiteet tämäntyyppisten hyökkäysten estämiseksi tulevaisuudessa.

Seuraavan tyyppisiä jälkiä voi löytää vaarantuneesta tietoinfrastruktuurista, mikä osoittaa, että verkko (tietokone) on vaarantunut:

Kaikki tällaiset jäljet ​​löytyvät Belkasoft Evidence Center -ohjelman avulla.

BEC:ssä on "Incident Investigation" -moduuli, jossa tallennusvälineitä analysoitaessa sijoitetaan tietoja esineistä, jotka voivat auttaa tutkijaa tapausten tutkinnassa.

BEC tukee tärkeimpien Windows-artefaktien tyyppien tutkimista, jotka osoittavat suoritettavien tiedostojen suorittamisen tutkittavassa järjestelmässä, mukaan lukien Amcache-, Userassist-, Prefetch-, BAM/DAM-tiedostot, Windows 10 -aikataulu,järjestelmän tapahtumien analyysi.

Tiedot jäljistä, jotka sisältävät tietoja käyttäjän toimista vaarantuneessa järjestelmässä, voidaan esittää seuraavassa muodossa:

Nämä tiedot sisältävät muun muassa tietoja suoritettavien tiedostojen suorittamisesta:

Tietoja tiedoston "RDPWInst.exe" suorittamisesta.

Tietoja hyökkääjien läsnäolosta vaarantuneissa järjestelmissä löytyy Windowsin rekisterin käynnistysavaimista, palveluista, ajoitetuista tehtävistä, kirjautumiskomentosarjoista, WMI:stä jne. Esimerkkejä järjestelmään liitettyjen hyökkääjien tietojen havaitsemisesta on seuraavissa kuvakaappauksissa:

Hyökkääjien rajoittaminen tehtävän ajastimen avulla luomalla tehtävä, joka suorittaa PowerShell-komentosarjan.

Hyökkääjien yhdistäminen Windows Management Instrumentationin (WMI) avulla.

Hyökkääjien yhdistäminen kirjautumisskriptillä.

Hyökkääjien liikkuminen vaarantuneen tietokoneverkon yli voidaan havaita esimerkiksi analysoimalla Windowsin järjestelmälokeja (jos hyökkääjät käyttävät RDP-palvelua).

Tietoja havaituista RDP-yhteyksistä.

Tietoja hyökkääjien liikkumisesta verkossa.

Siten Belkasoft Evidence Center voi auttaa tutkijoita tunnistamaan vaarantuneet tietokoneet hyökkäyksen kohteena olevassa tietokoneverkossa, löytämään jälkiä haittaohjelmien käynnistämisestä, jälkiä kiinnittymisestä järjestelmään ja liikkumisesta verkon yli sekä muita hyökkääjien toimintoja vaarannetuissa tietokoneissa.

Tällaisten tutkimusten suorittaminen ja yllä kuvattujen artefaktien havaitseminen on kuvattu Belkasoftin tapausreaktiotestikurssilla.

Kurssisuunnitelma:

• Kyberhyökkäystrendit. Tekniikat, työkalut, hyökkääjien tavoitteet
• Uhkamallien käyttäminen hyökkääjien taktiikkojen, tekniikoiden ja menettelyjen ymmärtämiseen
• Kybertappamisketju
• Tapahtumavastausalgoritmi: tunnistus, lokalisointi, indikaattoreiden luominen, uusien tartunnan saaneiden solmujen etsiminen
• Windows-järjestelmien analyysi BEC:llä
• Haittaohjelmien ensisijaisen tartunnan, verkon leviämisen, konsolidoinnin ja verkkotoiminnan menetelmien havaitseminen BEC:n avulla
• Tunnista tartunnan saaneet järjestelmät ja palauta infektiohistoria BEC:n avulla
• Käytännön harjoituksia

FAQMissä kursseja järjestetään?
Kurssit pidetään Group-IB:n pääkonttorissa tai ulkopuolisessa paikassa (koulutuskeskuksessa). Kouluttajan on mahdollista matkustaa työmaille yritysasiakkaiden kanssa.

Kuka johtaa tunnit?
Group-IB:n kouluttajat ovat ammatinharjoittajia, joilla on monen vuoden kokemus rikosteknisten tutkimusten suorittamisesta, yritystutkimuksista ja tietoturvaloukkauksiin reagoimisesta.

Kouluttajien pätevyyden vahvistavat lukuisat kansainväliset sertifikaatit: GCFA, MCFE, ACE, EnCE jne.

Kouluttajamme löytävät helposti yhteisen kielen yleisön kanssa ja selittävät selkeästi monimutkaisimmatkin aiheet. Opiskelija oppii paljon olennaista ja mielenkiintoista tietoa tietokonetapahtumien tutkimisesta, tietokonehyökkäysten tunnistamis- ja torjuntamenetelmistä ja saa todellista käytännön tietoa, jota he voivat soveltaa heti valmistumisen jälkeen.

Antavatko kurssit hyödyllisiä taitoja, jotka eivät liity Belkasoftin tuotteisiin, vai eivätkö nämä taidot sovellu ilman tätä ohjelmistoa?
Koulutuksen aikana hankituista taidoista on hyötyä ilman Belkasoftin tuotteita.

Mitä alkutestaukseen sisältyy?

Ensisijainen testaus on tietokonerikosteknisen perusteiden tuntemuksen testi. Belkasoftin ja Group-IB:n tuotteiden tuntemusta ei ole tarkoitus testata.

Mistä löydän tietoa yrityksen koulutuskursseista?

Osana koulutuskursseja Group-IB kouluttaa asiantuntijoita tapaturmavastaamiseen, haittaohjelmatutkimukseen, kybertiedon asiantuntijoita (Threat Intelligence), asiantuntijoita työskentelemään Security Operation Centerissä (SOC), ennakoivan uhkien metsästyksen asiantuntijoita (Threat Hunter) jne. . Täydellinen luettelo Group-IB:n omistamista kursseista on saatavilla täällä.

Mitä bonuksia Group-IB:n ja Belkasoftin yhteisiä kursseja suorittavat opiskelijat saavat?
Group-IB:n ja Belkasoftin yhteisillä kursseilla koulutuksen suorittaneet saavat:

1. todistus kurssin suorittamisesta;
2. ilmainen kuukausitilaus Belkasoft Evidence Centeriin;
3. 10 % alennus Belkasoft Evidence Centerin ostosta.

Muistutamme, että ensimmäinen kurssi alkaa maanantaina, 9 syyskuu, - älä missaa mahdollisuutta hankkia ainutlaatuista tietoa tietoturvasta, tietokonerikosteknisestä ja tapaturmavastaamisesta! Ilmoittautuminen kurssille täällä.

lähteetValmistellessamme artikkelia käytimme Oleg Skulkinin esitystä "Isäntäpohjaisen rikosteknisen tekniikan avulla saada indikaattoreita kompromisseista onnistuneeseen tiedustelutietoihin perustuvaan tapausvastaukseen".

Lähde: will.com