Co-chùrsaichean Group-IB agus Belkasoft: na bhios sinn a’ teagasg agus cò a bhios an làthair

Algorithms agus innleachdan airson dèiligeadh ri tachartasan tèarainteachd fiosrachaidh, gluasadan ann an ionnsaighean saidhbear gnàthach, dòighean-obrach airson a bhith a’ sgrùdadh aodion dàta ann an companaidhean, a’ sgrùdadh brobhsairean agus innealan gluasadach, a’ mion-sgrùdadh fhaidhlichean crioptaichte, a’ toirt a-mach dàta geolocation agus a’ mion-sgrùdadh meudan mòra de dhàta - iad sin uile agus cuspairean eile faodar sgrùdadh a dhèanamh air co-chùrsaichean ùra de Group-IB agus Belkasoft. Anns an Lùnastal sinn ainmeachadh a’ chiad chùrsa Foireansach Didseatach Belkasoft, a thòisicheas air 9 Sultain, agus às deidh dhuinn àireamh mhòr de cheistean fhaighinn, chuir sinn romhainn bruidhinn nas mionaidiche mu na nì oileanaich sgrùdadh, dè an eòlas, na comasan agus na bònasan (!) a gheibh an fheadhainn a gheibh ruig an deireadh. A’ chiad rudan an-toiseach.

A dhà uile ann an aon

Nochd am beachd co-chùrsaichean trèanaidh a chumail às deidh do chom-pàirtichean cùrsa Group-IB tòiseachadh a’ faighneachd mu inneal a chuidicheadh ​​​​iad ann a bhith a’ sgrùdadh siostaman coimpiutair agus lìonraidhean a bha ann an cunnart, agus a’ cothlamadh gnìomhachd diofar ghoireasan an-asgaidh a tha sinn a’ moladh a chleachdadh rè freagairt tachartais.

Nar beachd-sa, dh’ fhaodadh inneal leithid seo a bhith mar Ionad Fianais Belkasoft (bhruidhinn sinn mu dheidhinn mu thràth ann an artaigil Igor Mikhailov "Prìomh thoiseach: am bathar-bog is bathar-cruaidh as fheàrr airson forensics coimpiutair"). Mar sin, tha sinn, còmhla ri Belkasoft, air dà chùrsa trèanaidh a leasachadh: Belkasoft Digital Forensics и Sgrùdadh Freagairt Tachartas Belkasoft.

CUDROMACH: tha na cùrsaichean sreath agus eadar-cheangailte! Tha Belkasoft Digital Forensics coisrigte do phrògram Ionad Fianais Belkasoft, agus tha Sgrùdadh Freagairt Tachartas Belkasoft gu sònraichte airson a bhith a’ sgrùdadh thachartasan a’ cleachdadh bathar Belkasoft. Is e sin, mus dèan thu sgrùdadh air cùrsa Sgrùdadh Freagairt Tachartas Belkasoft, tha sinn a’ moladh gu làidir crìoch a chuir air cùrsa Foireansach Didseatach Belkasoft. Ma thòisicheas tu anns a’ bhad le cùrsa air rannsachaidhean tachartais, is dòcha gu bheil beàrnan eòlais neònach aig an oileanach ann a bhith a’ cleachdadh Ionad Fianais Belkasoft, a’ lorg agus a’ sgrùdadh stuthan forensic. Dh’ fhaodadh seo leantainn gu bhith, rè trèanadh ann an cùrsa Sgrùdadh Freagairt Tachartas Belkasoft, nach bi ùine aig an oileanach an stuth a mhaighstireachd, no gun cuir e maill air a’ chòrr den bhuidheann ann a bhith a’ faighinn eòlas ùr, leis gun tèid an ùine trèanaidh a chaitheamh. leis an neach-trèanaidh a 'mìneachadh an stuth bhon chùrsa Belkasoft Digital Forensics.

Forensics coimpiutair le Ionad Fianais Belkasoft

Adhbhar a ’chùrsa Belkasoft Digital Forensics - thoir a-steach oileanaich gu prògram Ionad Fianais Belkasoft, ionnsaich dhaibh am prògram seo a chleachdadh gus fianais a chruinneachadh bho dhiofar stòran (stòradh sgòthan, cuimhne ruigsinneachd air thuaiream (RAM), innealan gluasadach, meadhanan stòraidh (dràibhean cruaidh, draibhearan flash, msaa), maighstir dòighean-obrach agus dòighean forensic bunaiteach, dòighean sgrùdaidh forensic air stuthan Windows, innealan gluasadach, dumps RAM. airson sreathan teacsa (sgrùdadh prìomh fhaclan), cleachd hashes nuair a bhios tu a’ dèanamh rannsachadh, dèan mion-sgrùdadh air clàr Windows, maighistirich na sgilean ann a bhith a’ sgrùdadh stòran-dàta SQLite neo-aithnichte, bunaitean sgrùdadh faidhlichean grafaigeach is bhidio, agus dòighean mion-sgrùdaidh a thèid a chleachdadh rè sgrùdaidhean.

Bidh an cùrsa feumail do eòlaichean le speisealachadh ann an raon forensics teicnigeach coimpiutair (forensics coimpiutair); eòlaichean teignigeach a bhios a 'dearbhadh na h-adhbharan airson sàrachadh soirbheachail, a' sgrùdadh an t-sreath thachartasan agus a 'bhuaidh a bhios aig ionnsaighean saidhbear; eòlaichean teignigeach a 'comharrachadh agus a' clàradh goid dàta (aodion) le neach a-staigh (violator a-staigh); eòlaichean e-Lorg; luchd-obrach SOC agus CERT/CSIRT; luchd-obrach tèarainteachd fiosrachaidh; luchd-dealasach forensics coimpiutair.

Plana cùrsa:

• Ionad Fianais Belkasoft (BEC): na ciad cheumannan
• Cruthachadh agus làimhseachadh chùisean ann am BEC
• Cruinnich fianais didseatach airson rannsachaidhean forensic le BEC

• A 'cleachdadh filters
• A 'cruthachadh aithisgean
• Rannsachadh air prògraman teachdaireachd sa bhad

• Rannsachadh brabhsair lìn

• Rannsachadh innealan-làimhe
• A’ toirt a-mach dàta geolocation

• A’ lorg sreathan teacsa ann an cùisean
• A’ toirt a-mach agus a’ mion-sgrùdadh dàta bho stòradh neòil
• A’ cleachdadh comharran-leabhair gus fianais chudromach a chaidh a lorg rè rannsachadh a chomharrachadh
• Sgrùdadh air faidhlichean siostam Windows

• Mion-sgrùdadh Clàraidh Windows
• Mion-sgrùdadh air stòran-dàta SQLite

• Dòighean Ath-bheothachaidh Dàta
• Dòighean airson sgrùdadh a dhèanamh air dumps RAM
• A’ cleachdadh àireamhair hash agus mion-sgrùdadh hash ann an rannsachadh forensic
• Mion-sgrùdadh air faidhlichean crioptaichte
• Dòighean airson sgrùdadh a dhèanamh air faidhlichean grafaigeach agus bhidio
• Cleachdadh dhòighean anailis ann an rannsachadh forensic
• Dèan fèin-ghluasad air gnìomhan àbhaisteach a’ cleachdadh cànan prògramadh Belkascripts a chaidh a thogail a-steach

• Leasanan practaigeach

Cùrsa: Sgrùdadh Freagairt Tachartas Belkasoft

Is e adhbhar a’ chùrsa a bhith ag ionnsachadh bunaitean sgrùdadh forensic air ionnsaighean saidhbear agus na cothroman air Ionad Fianais Belkasoft a chleachdadh ann an sgrùdadh. Ionnsaichidh tu mu phrìomh vectaran ionnsaighean an latha an-diugh air lìonraidhean coimpiutair, ionnsaichidh tu ionnsaighean coimpiutair a sheòrsachadh stèidhichte air matrix MITER ATT&CK, cuir an sàs algoirmean sgrùdaidh siostam obrachaidh gus fìrinn co-rèiteachaidh a stèidheachadh agus gnìomhan luchd-ionnsaigh ath-chruthachadh, ionnsaich far a bheil artifacts suidhichte comharraich dè na faidhlichean a chaidh fhosgladh mu dheireadh, far a bheil an siostam obrachaidh a’ stòradh fiosrachadh mu mar a chaidh faidhlichean so-ghnìomhaichte a luchdachadh sìos agus a chuir gu bàs, mar a ghluais luchd-ionnsaigh thairis air an lìonra, agus ionnsaich mar a nì thu sgrùdadh air na stuthan sin a’ cleachdadh BEC. Ionnsaichidh tu cuideachd dè na tachartasan ann an logaichean siostam anns a bheil ùidh bho shealladh sgrùdadh tachartais agus lorg ruigsinneachd air astar, agus ionnsaichidh tu mar a nì thu sgrùdadh orra le bhith a’ cleachdadh BEC.

Bidh an cùrsa feumail do eòlaichean teignigeach a bhios a’ dearbhadh na h-adhbharan airson sàrachadh soirbheachail, a’ sgrùdadh slabhraidhean de thachartasan agus a’ bhuaidh a bhios aig ionnsaighean saidhbear; rianadairean siostam; luchd-obrach SOC agus CERT/CSIRT; luchd-obrach tèarainteachd fiosrachaidh.

Geàrr-chunntas Cùrsa

Tha Cyber ​​​​Kill Chain a 'toirt cunntas air na prìomh ìrean de ionnsaigh theicnigeach sam bith air coimpiutairean an neach-fulaing (no lìonra coimpiutair) mar a leanas:

Tha gnìomhan luchd-obrach SOC (CERT, tèarainteachd fiosrachaidh, msaa) ag amas air casg a chuir air luchd-ionnsaigh faighinn gu goireasan fiosrachaidh dìonta.

Ma thèid luchd-ionnsaigh a-steach don bhun-structar dìonta, bu chòir dha na daoine gu h-àrd feuchainn ris a’ mhilleadh bho ghnìomhachd an luchd-ionnsaigh a lughdachadh, faighinn a-mach mar a chaidh an ionnsaigh a dhèanamh, tachartasan agus sreath ghnìomhan an luchd-ionnsaigh ath-chruthachadh anns an structar fiosrachaidh a tha ann an cunnart, agus gabhail ris. ceumannan gus casg a chuir air an seòrsa ionnsaigh seo san àm ri teachd.

Gheibhear na seòrsaichean lorgan a leanas ann am bun-structar fiosrachaidh ann an cunnart, a’ nochdadh gun deach an lìonra (coimpiutair) a chuir an cunnart:

Gheibhear a h-uile lorg mar sin a’ cleachdadh prògram Ionad Fianais Belkasoft.

Tha modal “Sgrùdadh Tachartas” aig BEC, far am bi, nuair a thathar a’ dèanamh anailis air na meadhanan stòraidh, fiosrachadh mu stuthan air an cur a chuidicheas an neach-rannsachaidh ann a bhith a’ sgrùdadh thachartasan.

Tha BEC a’ toirt taic do sgrùdadh air na prìomh sheòrsan de stuthan Windows a tha a’ nochdadh mar a chaidh faidhlichean so-ghnìomhaichte a chur an gnìomh air an t-siostam a tha fo sgrùdadh, a’ gabhail a-steach Amcache, Userassist, Prefetch, faidhlichean BAM/DAM, Windows 10 clàr-ama, mion-sgrùdadh air tachartasan siostam.

Faodar fiosrachadh mu lorgan anns a bheil fiosrachadh mu ghnìomhan luchd-cleachdaidh ann an siostam cunnartach a thaisbeanadh anns an fhoirm a leanas:

Tha am fiosrachadh seo, am measg rudan eile, a’ toirt a-steach fiosrachadh mu bhith a’ ruith faidhlichean so-ghnìomhaichte:

Fiosrachadh mu bhith a’ ruith am faidhle ‘RDPWInst.exe’.

Gheibhear fiosrachadh mu làthaireachd luchd-ionnsaigh ann an siostaman fo chunnart ann an iuchraichean tòiseachaidh clàr Windows, seirbheisean, gnìomhan clàraichte, sgriobtaichean Logadh, WMI, msaa. Chithear eisimpleirean de bhith a’ lorg fiosrachadh mu luchd-ionnsaigh a tha ceangailte ris an t-siostam sna dealbhan-sgrìn a leanas:

A’ cur bacadh air luchd-ionnsaigh a bhith a’ cleachdadh a’ chlàr-obrach gnìomhan le bhith a’ cruthachadh gnìomh a ruitheas sgriobt PowerShell.

A’ daingneachadh luchd-ionnsaigh a’ cleachdadh Windows Management Instrumentation (WMI).

A’ daingneachadh luchd-ionnsaigh a’ cleachdadh sgriobt Logon.

Faodar gluasad luchd-ionnsaigh thairis air lìonra coimpiutair a tha ann an cunnart a lorg, mar eisimpleir, le bhith a’ dèanamh anailis air logaichean siostam Windows (ma chleachdas an luchd-ionnsaigh an t-seirbheis RDP).

Fiosrachadh mu cheanglaichean RDP a chaidh a lorg.

Fiosrachadh mu ghluasad luchd-ionnsaigh air feadh an lìonra.

Mar sin, faodaidh Ionad Fianais Belkasoft luchd-rannsachaidh a chuideachadh le bhith a’ comharrachadh choimpiutairean ann an cunnart ann an lìonra coimpiutair fo ionnsaigh, lorg lorgan air cur air bhog malware, lorgan socrachadh san t-siostam agus gluasad thairis air an lìonra, agus comharran eile de ghnìomhachd ionnsaigh air coimpiutairean a tha fo ionnsaigh.

Tha mar a nì thu an leithid de rannsachadh agus a lorgar na stuthan a tha air am mìneachadh gu h-àrd air a mhìneachadh ann an cùrsa trèanaidh Sgrùdadh Freagairt Tachartas Belkasoft.

Plana cùrsa:

• Gluasadan cyberattack. Teicneòlasan, innealan, amasan luchd-ionnsaigh
• A’ cleachdadh mhodalan bagairt gus innleachdan ionnsaigh, dòighean-obrach agus modhan-obrach a thuigsinn
• Cyber ​​​​marbhadh slabhraidh
• Algorithm freagairt tachartas: comharrachadh, sgìreachadh, gineadh chomharran, lorg nodan gabhaltach ùra
• Mion-sgrùdadh air siostaman Windows a’ cleachdadh BEC
• A’ lorg dhòighean air galar bun-sgoile, sgaoileadh lìonra, daingneachadh, agus gnìomhachd lìonra de malware a’ cleachdadh BEC
• Comharraich siostaman gabhaltach agus thoir air ais eachdraidh galair le bhith a’ cleachdadh BEC
• Leasanan practaigeach

CÀBHACàite a bheil na cùrsaichean air an cumail?
Bithear a’ cumail chùrsaichean aig prìomh oifisean Buidheann-IB no aig làrach a-muigh (ionad trèanaidh). Tha e comasach do thrèanaiche siubhal gu làraich le luchd-ceannach corporra.

Cò a bhios a’ stiùireadh nan clasaichean?
Tha luchd-trèanaidh aig Group-IB nan cleachdaichean le mòran bhliadhnaichean de eòlas ann a bhith a’ dèanamh rannsachadh forensic, rannsachaidhean corporra agus a’ dèiligeadh ri tachartasan tèarainteachd fiosrachaidh.

Tha teisteanasan luchd-trèanaidh air an dearbhadh le grunn theisteanasan eadar-nàiseanta: GCFA, MCFE, ACE, EnCE, msaa.

Bidh an luchd-trèanaidh againn gu furasta a’ lorg cànan cumanta leis an luchd-èisteachd, a’ mìneachadh gu soilleir eadhon na cuspairean as iom-fhillte. Ionnsaichidh oileanaich tòrr fiosrachaidh iomchaidh is inntinneach mu bhith a’ sgrùdadh thachartasan coimpiutair, dòighean air ionnsaighean coimpiutair aithneachadh agus a chuir an aghaidh, agus gheibh iad fìor eòlas practaigeach as urrainn dhaibh a chuir an sàs sa bhad às deidh dhaibh ceumnachadh.

An toir na cùrsaichean seachad sgilean feumail nach eil co-cheangailte ri bathar Belkasoft, no am bi na sgilean sin neo-iomchaidh às aonais a’ bhathar-bog seo?
Bidh na sgilean a gheibhear tron ​​​​trèanadh feumail gun a bhith a’ cleachdadh bathar Belkasoft.

Dè tha air a ghabhail a-steach sa chiad deuchainn?

Tha deuchainn bun-sgoile na dheuchainn air eòlas air bunaitean forensics coimpiutair. Chan eil planaichean ann eòlas air bathar Belkasoft agus Group-IB a dhearbhadh.

Càite am faigh mi fiosrachadh mu chùrsaichean foghlaim na companaidh?

Mar phàirt de chùrsaichean foghlaim, bidh Group-IB a’ trèanadh eòlaichean ann am freagairt tachartas, rannsachadh malware, eòlaichean fiosrachaidh saidhbear (Threat Intelligence), eòlaichean a bhith ag obair anns an Ionad Gnìomh Tèarainteachd (SOC), eòlaichean ann an sealg bagairt for-ghnìomhach (Sealgair Cunnart), msaa. . Tha liosta iomlan de chùrsaichean seilbh bho Group-IB ri fhaighinn an seo.

Dè na bònasan a gheibh oileanaich a chuireas crìoch air cùrsaichean còmhla eadar Group-IB agus Belkasoft?
Gheibh an fheadhainn a tha air trèanadh a dhèanamh ann an co-chùrsaichean eadar Group-IB agus Belkasoft:

1. teisteanas crìoch a chur air a 'chùrsa;
2. ballrachd mìosail an-asgaidh gu Ionad Fianais Belkasoft;
3. Lasachadh de 10% air ceannach Ionad Fianais Belkasoft.

Tha sinn gad chuimhneachadh gu bheil a’ chiad chùrsa a’ tòiseachadh Diluain, 9 Sultain, - na caill an cothrom eòlas sònraichte fhaighinn ann an raon tèarainteachd fiosrachaidh, forensics coimpiutair agus freagairt tachartas! Clàradh airson a’ chùrsa an seo.

StòranAnn a bhith ag ullachadh an artaigil, chleachd sinn an taisbeanadh le Oleg Skulkin “A’ cleachdadh forensics stèidhichte air aoigheachd gus comharran co-rèiteachaidh fhaighinn airson freagairt tachartas soirbheachail air a stiùireadh le fiosrachadh. ”

Source: www.habr.com