Nā papahana hui pūʻulu-IB a me Belkasoft: he aha kā mākou e aʻo ai a ʻo wai e hele

Algorithms a me nā loea no ka pane ʻana i nā hanana palekana ʻike, nā ʻano o ka hoʻouka kaua ʻana i kēia manawa, nā ala e noiʻi ai i ka lele ʻana o ka ʻikepili i nā ʻoihana, ka noiʻi ʻana i nā polokalamu kele pūnaewele a me nā polokalamu kelepona, ka nānā ʻana i nā faila i hoʻopili ʻia, ka unuhi ʻana i ka ʻikepili geolocation a me nā ʻikepili o nā nui ʻikepili nui - hiki i kēia mau kumuhana āpau a me nā kumuhana ʻē aʻe. e aʻo ʻia ma nā papa hui hou o Group-IB a me Belkasoft. I ʻAukake mākou kūkala ʻia ʻO ka papa mua Belkasoft Digital Forensics, e hoʻomaka ana i ka lā 9 Kepakemapa, a, i ka loaʻa ʻana o nā nīnau he nui, ua hoʻoholo mākou e haʻi i nā kikoʻī i nā mea a nā haumāna e aʻo ai, he aha ka ʻike, nā mākaukau a me nā bonus (!) ka mea hiki i ka hopena. E pili ana i nā mea a pau i ka hoʻonohonoho.

ʻElua i hoʻokahi

Ua ʻike ʻia ka manaʻo o ka hoʻopaʻa ʻana i nā papa hoʻomaʻamaʻa hui ʻana ma hope o ka hoʻomaka ʻana o ka poʻe i komo i nā papa Group-IB e nīnau e pili ana i kahi mea hana e kōkua iā lākou i ka hoʻokolokolo ʻana i nā ʻōnaehana kamepiula a me nā pūnaewele i hoʻohālikelike ʻia, a hoʻohui i ka hana o nā pono manuahi a mākou e paipai nei. hoʻohana i ka wā o ka pane ʻana i ka hanana.

I ko mākou manaʻo, hiki i ka Belkasoft Evidence Center ke lilo i mea hana (ua kamaʻilio mākou e pili ana iā ia ma 'ōlelo ʻO Igor Mikhailov "Ke kī e hoʻomaka ai: ka polokalamu maikaʻi loa a me nā lako hana no nā forensics kamepiula"). No laila, ua hoʻomohala mākou me Belkasoft i ʻelua mau papa aʻo: Belkasoft Digital Forensics и Belkasoft Incident Response Examination.

IMPORTANT: nā papa he sequential a pili! Hoʻolaʻa ʻia ʻo Belkasoft Digital Forensics i ka papahana Belkasoft Evidence Center, a ua hoʻolaʻa ʻia ʻo Belkasoft Incident Response Examination no ka hoʻokolokolo ʻana i nā hanana me ka hoʻohana ʻana i nā huahana Belkasoft. ʻO ia hoʻi, ma mua o ke aʻo ʻana i ka papa Belkasoft Incident Response Examination, paipai mākou e hoʻopau i ka papa Belkasoft Digital Forensics. Inā ʻoe e hoʻomaka koke me ka papa hoʻokolokolo hanana, hiki i ka haumāna ke loaʻa nā ʻike hoʻonāukiuki i ka hoʻohana ʻana i ka Belkasoft Evidence Center, ka ʻimi ʻana a me ka noiʻi ʻana i nā mea hana forensic. Hiki i kēia ke alakaʻi i ka ʻoiaʻiʻo i ka wā o ka Belkasoft Incident Response Examination, ʻaʻole loaʻa i ka haumāna ka manawa e haku ai i ka mea, a i ʻole e hoʻolohi i ke koena o ka hui i ka loaʻa ʻana o ka ʻike hou, ʻoiai e hoʻopau ʻia ka manawa aʻo e ka mea aʻo e wehewehe ana i nā mea mai ka papa Belkasoft Digital Forensics.

ʻO nā forensics kamepiula me Belkasoft Evidence Center

Ke kumu o ka papa Belkasoft Digital Forensics - e hoʻolauna i nā haumāna i ka papahana Belkasoft Evidence Center, e aʻo iā lākou pehea e hoʻohana ai i kēia papahana no ka hōʻiliʻili ʻana i nā hōʻike mai nā kumu like ʻole ( cloud storage, random access memory (RAM), mobile device, storage media (hard drives, flash drive, etc.) , haku i nā ʻenehana forensic kumu a me nā ʻenehana, nā ʻano no ka hoʻokolokolo forensic o nā mea hana Windows, nā polokalamu kelepona, nā waihona hoʻomanaʻo. no nā kaʻina kikokikona (huli ma nā huaʻōlelo), hoʻohana i nā hashes i ka noiʻi, hoʻopaʻa inoa i ka Windows registry, aʻo i nā mākau o ka noiʻi ʻana i nā ʻikepili SQLite ʻike ʻole, nā kumu o ka noiʻi ʻana i nā kiʻi a me nā faila wikiō, a me nā ʻano analytical i hoʻohana ʻia i ka wā o nā noiʻi.

Pono ka papa no nā poʻe akamai me ka ʻike loea i ka ʻike loea kamepiula-ʻenehana (kamepiula akamai); nā loea loea nāna e hoʻoholo i nā kumu no ka hoʻokō kūleʻa, hoʻopaʻa i ke kaulahao o nā hanana a me nā hopena o ka hoʻouka kaua cyber; nā loea loea nāna e ʻike a palapala i ka ʻaihue ʻikepili (leakage) e kekahi kanaka loko (internal offfender); nā loea e-Discovery; Nā limahana SOC a me CERT/CSIRT; nā luna mālama ʻike; ka poʻe ʻoluʻolu o ka lolouila forensics.

Papa papahana:

• Belkasoft Evidence Center (BEC): nā hana mua
• Ka hana ʻana a me ka hoʻoponopono ʻana i nā hihia ma BEC
• ʻOhi ʻana i nā hōʻike kikohoʻe ma kahi noiʻi Forensic me BEC

• Ke hoʻohana nei i nā kānana
• Hōʻike
• Ke ʻimi nei i nā polokalamu leka uila

• Noiʻi Pūnaewele

• Noi Mobile
• Ke unuhi nei i ka ʻikepili geolocation

• Huli i nā kaʻina kikokikona ma nā hihia
• ʻIke ʻikepili a me ka nānā ʻana mai nā waihona kapuaʻi
• Ke hoʻohana nei i nā bookmark e hōʻike i nā hōʻike koʻikoʻi i loaʻa i ka wā noiʻi
• Ke nānā ʻana i nā faila ʻōnaehana Windows

• Ka hoʻopaʻa inoa Windows
• ʻIkepili waihona SQLite

• Nā ʻano hoʻihoʻi ʻikepili
• ʻO nā ʻenehana no ka nānā ʻana i nā dumps RAM
• Ka hoʻohana ʻana i ka calculator hash a me ka nānā ʻana i ka hash i nā noiʻi forensic
• ʻIkepili o nā faila i hoʻopili ʻia
• Nā ala no ka noiʻi ʻana i nā faila kiʻi a me nā faila wikiō
• Ka hoʻohana ʻana i nā ʻenehana analytical i ka noiʻi forensic
• ʻO ka automate o nā hana maʻamau me ka hoʻohana ʻana i ka ʻōlelo papahana i kūkulu ʻia ʻo Belkascripts

• Nā haʻawina hoʻomaʻamaʻa

Papa: Belkasoft Incident Response Examination

ʻO ke kumu o ka papa e aʻo i nā kumu o ka hoʻokolokolo forensic o nā hoʻouka kaua cyber a me nā hiki ke hoʻohana i ka Belkasoft Evidence Center i ka hoʻokolokolo. E aʻo ʻoe e pili ana i nā vectors nui o nā hoʻouka kaua hou i nā pūnaewele kamepiula, e aʻo pehea e hoʻokaʻawale ai i nā hoʻouka kamepiula ma muli o ka MITRE ATT & CK matrix, e hoʻopili i nā algorithm noiʻi ʻōnaehana hana e hoʻokumu i ka ʻoiaʻiʻo o ka hoʻololi a kūkulu hou i nā hana a nā mea hoʻouka, e ʻike i kahi. Aia nā artifacts e hōʻike ana i nā faila i wehe ʻia ma hope, kahi e mālama ai ka ʻōnaehana hana i ka ʻike e pili ana i ka hoʻouka ʻana a me ka holo ʻana i nā faila hiki ke hoʻokō ʻia, pehea ka neʻe ʻana o nā mea hoʻouka a puni ka pūnaewele, a aʻo pehea e ʻimi ai i kēia mau kiʻi me ka hoʻohana ʻana iā BEC. E aʻo nō ʻoe i nā hanana syslog e hoihoi no ka hoʻokolokolo hanana a me ka hoʻoholo ʻana i ke ala mamao, a aʻo pehea e noiʻi ai iā lākou me ka hoʻohana ʻana iā BEC.

Pono ka papa no nā loea loea nāna e hoʻoholo i nā kumu no ka hoʻokō kūleʻa, hoʻopaʻa i ke kaulahao o nā hanana a me nā hopena o ka hoʻouka ʻana i ka cyber; nā luna hoʻomalu pūnaewele; Nā limahana SOC a me CERT/CSIRT; kanaka mālama ʻike.

Nānā Haʻawina

Hōʻike ʻo Cyber ​​​​Kill Chain i nā pae nui o kekahi hoʻouka kaua ʻenehana ma nā kamepiula (a i ʻole pūnaewele kamepiula) o ka mea i pepehi ʻia penei:

ʻO nā hana a nā limahana SOC (CERT, palekana ʻike, a me nā mea ʻē aʻe) ke manaʻo nei e pale aku i nā mea komo mai ke komo ʻana i nā kumuwaiwai ʻike palekana.

Inā komo nā mea komo i loko o ka ʻōnaehana pale, a laila e hoʻāʻo ka poʻe i luna e hōʻemi i ka pōʻino mai nā hana a ka poʻe hoʻouka kaua, e hoʻoholo pehea i hana ʻia ai ka hoʻouka ʻana, kūkulu hou i nā hanana a me ke ʻano o nā hana a ka poʻe hoʻouka kaua i ka hoʻolālā ʻike i hoʻohālikelike ʻia a e hana i nā mea e pale aku ai i kēia ʻano hoʻouka kaua i ka wā e hiki mai ana.

I loko o kahi ʻōnaehana ʻike i hoʻopaʻapaʻa ʻia, hiki ke ʻike ʻia nā ʻano ʻano ʻano like ʻole e hōʻike ana i kahi kuʻikahi (kamepiula):

Hiki ke loaʻa nā ʻano like ʻole me ka Belkasoft Evidence Center.

Loaʻa i ka BEC kahi module "Incident Investigation", kahi, i ka wā e nānā ana i ka waihona waihona, waiho ʻia ka ʻike e pili ana i nā mea waiwai e hiki ke kōkua i ka mea noiʻi i ka noiʻi ʻana i nā hanana.

Kākoʻo ʻo BEC i ka nānā ʻana i nā ʻano mea nui o Windows artifacts e hōʻike ana i ka hoʻomaka ʻana o nā faila i hiki ke hoʻokō ʻia ma ka ʻōnaehana i hoʻokolokolo ʻia, me Amcache, Userassist, Prefetch, BAM/DAM, Windows 10 Timeline, ka nānā 'ana i nā hanana pūnaewele.

Hiki ke hōʻike ʻia ka ʻike e pili ana i nā meheu i loaʻa ka ʻike e pili ana i nā hana a nā mea hoʻohana i loko o kahi ʻōnaehana i hoʻopaʻa ʻia ma kēia ʻano:

Aia kēia ʻike, ma waena o nā mea ʻē aʻe, ka ʻike e pili ana i ka hoʻomaka ʻana o nā faila hiki ke hoʻokō:

ʻIke e pili ana i ka holo ʻana i ka faila 'RDPWInst.exe'.

Hiki ke ʻike ʻia ka ʻike e pili ana i ka poʻe hoʻouka kaua e noho ana ma nā ʻōnaehana i hoʻopaʻa inoa ʻia ma nā kī hoʻomaka hoʻopaʻa inoa Windows, nā lawelawe, nā hana i hoʻonohonoho ʻia, Logon scripts, WMI, a pēlā aku. Hiki ke ʻike ʻia nā hiʻohiʻona o ka ʻimi ʻana i ka ʻike ma ka ʻōnaehana hoʻouka kaua ma nā kiʻi paʻi kiʻi:

Hoʻopili i nā mea hoʻouka me ka hoʻohana ʻana i ka mea hoʻonohonoho hana ma ka hana ʻana i kahi hana e holo ana i kahi palapala PowerShell.

Hoʻoponopono i nā mea hoʻouka me ka hoʻohana ʻana i ka Windows Management Instrumentation (WMI).

Hoʻopili i nā mea hoʻouka me ka palapala Logon.

Hiki ke ʻike ʻia ka neʻe ʻana o ka poʻe hoʻouka kaua ma waena o kahi pūnaewele kamepiula i hoʻohālikelike ʻia, no ka laʻana, ma ka nānā ʻana i nā log system Windows (ke hoʻohana ka poʻe hoʻouka i ka lawelawe RDP).

ʻIke e pili ana i nā pilina RDP i ʻike ʻia.

ʻIke e pili ana i ka neʻe ʻana o nā mea hoʻouka ma o ka pūnaewele.

No laila, hiki i ka Belkasoft Evidence Center ke kōkua i ka poʻe noiʻi e ʻike i nā kamepiula i hoʻopaʻa ʻia i loko o kahi pūnaewele kamepiula i hoʻouka ʻia, e ʻike i nā meheu o ka hoʻomaka ʻana o ka malware, nā ʻāpana o ka hoʻoponopono ʻana i ka ʻōnaehana a me ka neʻe ʻana a puni ka pūnaewele, a me nā ʻāpana ʻē aʻe o nā hana a nā mea hoʻouka ma nā kamepiula i hoʻopaʻa ʻia.

Pehea e alakaʻi ai i ia mau haʻawina a ʻike i nā mea kiʻi i hōʻike ʻia ma luna nei i wehewehe ʻia ma ka papa hoʻomaʻamaʻa Belkasoft Incident Response Examination.

Papa papahana:

• Nā loina i ka cyberattacks. ʻenehana, mea hana, pahuhopu o nā mea hoʻouka
• Ke hoʻohana nei i nā hiʻohiʻona hoʻoweliweli e hoʻomaopopo i nā loea, nā ʻenehana, a me nā kaʻina hana o nā mea hoʻouka
• Cyber ​​​​pepehi kaulahao
• ʻO ka algorithm pane hanana: ʻike, localization, hanauna o nā hōʻailona, ​​​​ʻimi i nā nodes maʻi hou
• Ke kālailai ʻana i nā ʻōnaehana Windows me BEC
• Ka ʻike ʻana i nā ʻano maʻi maʻi mua, ka hoʻolaha ʻana o ka pūnaewele, ka hoʻomau ʻana, ka hana pūnaewele o ka malware me ka hoʻohana ʻana iā BEC
• Ka ʻike ʻana i nā ʻōnaehana maʻi a me ka hoʻihoʻi ʻana i ka mōʻaukala maʻi me ka hoʻohana ʻana i ka BEC
• Nā haʻawina hoʻomaʻamaʻa

NPPAia ma hea nā papa?
Hoʻopaʻa ʻia nā haʻawina ma ke keʻena nui o Group-IB a i ʻole ma kahi kahua waho (ma ke kikowaena hoʻomaʻamaʻa). Hiki ke haʻalele i ka mea hoʻomaʻamaʻa ma nā paepae i nā mea kūʻai aku hui.

ʻO wai ke alakaʻi i nā papa?
ʻO nā mea hoʻomaʻamaʻa ma Group-IB he poʻe hoʻomaʻamaʻa me nā makahiki he nui o ka ʻike i nā noiʻi forensic, nā noiʻi ʻoihana a me ka pane ʻana i nā hanana palekana ʻike.

Ua hōʻoia ʻia ka hōʻoia o nā mea aʻo e nā palapala hōʻoia honua: GCFA, MCFE, ACE, EnCE, etc.

Loaʻa maʻalahi kā mākou mau mea hoʻomaʻamaʻa i kahi ʻōlelo maʻamau me ka poʻe hoʻolohe, e wehewehe ana i nā kumuhana paʻakikī loa i kahi ala hiki ke hiki. E aʻo nui nā haumāna i nā ʻike pili a hoihoi e pili ana i ka hoʻokolokolo ʻana i nā hanana kamepiula, nā ʻano no ka ʻike ʻana a me ke kūʻē ʻana i nā hoʻouka kamepiula, e loaʻa i ka ʻike kūpono maoli hiki iā lākou ke noi koke ma hope o ka puka ʻana.

E hāʻawi ana nā papa i nā mākau pono i pili ʻole i nā huahana Belkasoft, a i ʻole e hoʻohana ʻia kēia mau mākaukau me ka ʻole o kēia polokalamu?
E hoʻohana pono nā mākau i loaʻa i ka wā o ka hoʻomaʻamaʻa ʻana me ka ʻole o ka hoʻohana ʻana i nā huahana Belkasoft.

He aha ka mea i komo i ka hoʻāʻo mua?

ʻO ka hoʻāʻo mua he hoʻāʻo o ka ʻike o nā kumu o ka lolouila forensics. ʻAʻole hoʻolālā ʻia ka hoʻāʻo ʻana no ka ʻike o nā huahana Belkasoft a me Group-IB.

Ma hea e loaʻa ai iaʻu ka ʻike e pili ana i nā papa hoʻonaʻauao o ka hui?

I loko o ke kahua o nā papa hoʻonaʻauao, hoʻomaʻamaʻa ʻo Group-IB i nā loea i ka pane ʻana i ka hanana, ka noiʻi malware, nā loea cyber intelligence (Threat Intelligence), nā loea no ka hana ma ka Security Operation Center (SOC), proactive threat search specialists (Threat Hunter), etc. . Loaʻa ka papa inoa piha o nā papa a ka mea kākau mai Group-IB maanei.

He aha nā bonus i loaʻa i nā haumāna e hoʻopau i nā papa hui o Group-IB a me Belkasoft?
E loaʻa ka poʻe i hoʻopau i nā papa hui o Group-IB a me Belkasoft:

1. palapala hoʻopau papa;
2. kau inoa manuahi i kēlā me kēia mahina ma Belkasoft Evidence Center;
3. 10% uku no ke kūʻai ʻana i Belkasoft Evidence Center.

Hoʻomaopopo mākou iā ʻoe e hoʻomaka ka papa mua ma ka Pōʻakahi, ʻO 9 september, - mai haʻalele i ka manawa e loaʻa ai ka ʻike kūʻokoʻa ma ke kahua o ka palekana ʻike, nā forensics kamepiula a me ka pane hanana! Kakau inoa no ka papa maanei.

PūnaeweleI ka hoʻomākaukau ʻana i ka ʻatikala, ua hoʻohana ʻia ka hōʻike ʻana a Oleg Skulkin "E hoʻohana ana i nā forensics i hoʻokumu ʻia e ka host e loaʻa ai nā hōʻailona o ka hoʻololi ʻana no ka pane ʻana i ka hanana i alakaʻi ʻia e ka naʻauao".

Source: www.habr.com