Gwoup-IB ak kou konjwen Belkasoft: ki sa nou pral anseye ak ki moun ki pral patisipe

Algoritm ak taktik pou reponn a ensidan sekirite enfòmasyon yo, tandans nan atak cyber aktyèl, apwòch pou mennen ankèt sou fwit done nan konpayi yo, fè rechèch sou navigatè ak aparèy mobil, analize dosye chiffres, ekstrè done jeolokalizasyon ak analiz gwo volim done - tout bagay sa yo ak lòt sijè. ka etidye sou nouvo kou jwenti nan Group-IB ak Belkasoft. Nan mwa Out nou te anonse premye kou Belkasoft Digital Forensics, ki kòmanse 9 septanm, epi nou te resevwa yon gwo kantite kesyon, nou deside pale an plis detay sou sa elèv yo pral etidye, ki konesans, konpetans ak bonis (!) moun ki pral resevwa. rive nan fen an. Premye bagay an premye.

De Tout nan youn

Lide pou fè kou fòmasyon konjwen parèt apre patisipan kou Gwoup-IB yo te kòmanse mande sou yon zouti ki ta ede yo nan envestige sistèm òdinatè ak rezo konpwomèt, epi konbine fonksyonalite divès sèvis piblik gratis ke nou rekòmande pou itilize pandan repons ensidan an.

Dapre nou, yon zouti konsa ta ka Belkasoft Evidence Center (nou te deja pale sou li nan Atik Igor Mikhailov "Kle nan kòmansman an: pi bon lojisyèl ak pyès ki nan konpitè pou òdinatè legal"). Se poutèt sa, nou, ansanm ak Belkasoft, te devlope de kou fòmasyon: Belkasoft Digital Forensics и Egzamen Belkasoft repons pou ensidan.

ENPÒTAN: kou yo se sekans ak entèkonekte! Belkasoft Digital Forensics dedye a pwogram Sant Prèv Belkasoft, epi Egzamen Repons Ensidan Belkasoft dedye a mennen ankèt sou ensidan lè l sèvi avèk pwodwi Belkasoft. Sa vle di, anvan ou etidye kou Egzamen Belkasoft pou repons pou ensidan an, nou rekòmande pou w konplete kou Belkasoft Digital Forensics. Si ou kòmanse touswit ak yon kou sou envestigasyon ensidan, elèv la ka gen twou vid ki genyen konesans anmèdan nan sèvi ak Sant Prèv Belkasoft, jwenn ak ekzamine zafè legal yo. Sa a ka mennen nan lefèt ke pandan fòmasyon nan kou a Belkasoft Ensidan Repons Egzamen, elèv la swa pa pral gen tan metrize materyèl la, oswa pral ralanti rès la nan gwoup la nan akeri nouvo konesans, depi tan fòmasyon an pral pase. pa antrenè a eksplike materyèl ki soti nan kou a Belkasoft Digital Forensics.

Odinatè legal ak Belkasoft Evidence Center

Objektif kou a Belkasoft Digital Forensics — prezante elèv yo nan pwogram Belkasoft Evidence Center, anseye yo pou yo sèvi ak pwogram sa a pou kolekte prèv ki soti nan plizyè sous (depo nan nwaj, memwa pou aksè o aza (RAM), aparèy mobil, medya depo (disk di, kondui flash, elatriye), metriz teknik legal debaz ak teknik, metòd egzamen legal nan Windows zafè, aparèy mobil, fatra RAM. Ou pral aprann tou idantifye ak dokimante zafè nan navigatè ak pwogram mesaj enstantane, kreye kopi legal nan done ki soti nan divès sous, ekstrè done jeolokalizasyon ak rechèch. pou sekans tèks (rechèch pa mo kle), sèvi ak hash lè w ap fè rechèch, analize rejis Windows la, metrize konpetans yo nan eksplore baz done SQLite enkoni, baz yo nan ekzamine dosye grafik ak videyo, ak teknik analyse yo itilize pandan envestigasyon yo.

Kou a pral itil pou ekspè ki gen espesyalizasyon nan domèn legal teknik òdinatè (forensics òdinatè); espesyalis teknik ki detèmine rezon pou yon entrizyon siksè, analize chèn evènman yo ak konsekans atak cyber; espesyalis teknik ki idantifye ak dokimante vòl done (fuit) pa yon inisye (vyolatè entèn); espesyalis e-Discovery; anplwaye SOC ak CERT/CSIRT; anplwaye sekirite enfòmasyon; amater enfòmatik legal.

Plan kou:

• Belkasoft Evidence Center (BEC): premye etap yo
• Kreyasyon ak pwosesis ka nan BEC
• Kolekte prèv dijital pou envestigasyon legal ak BEC

• Sèvi ak filtè
• Jenere rapò
• Rechèch sou pwogram Instant Messaging

• Rechèch navigatè entènèt

• Rechèch Aparèy mobil
• Ekstrè done jeolokalizasyon

• Chèche sekans tèks nan ka yo
• Ekstrè ak analize done ki soti nan depo nwaj yo
• Sèvi ak makè pou mete aksan sou prèv enpòtan yo jwenn pandan rechèch
• Egzamen nan dosye sistèm Windows

• Analiz rejis Windows
• Analiz de baz done SQLite

• Metòd Rekiperasyon Done
• Teknik pou egzamine pil fatra RAM yo
• Sèvi ak kalkilatris hash ak analiz hash nan rechèch legal
• Analiz de fichye chiffres
• Metòd pou etidye dosye grafik ak videyo
• Itilizasyon teknik analyse nan rechèch legal
• Otomatize aksyon woutin yo lè l sèvi avèk langaj pwogramasyon Belkascripts entegre

• Leson pratik

Kou: Belkasoft Egzamen repons pou ensidan

Objektif kou a se aprann baz ankèt legal sou cyber atak ak posiblite pou itilize Belkasoft Evidence Center nan yon ankèt. Ou pral aprann sou vektè prensipal yo nan atak modèn sou rezo òdinatè, aprann klasifye atak òdinatè ki baze sou matris la MITRE ATT&CK, aplike algoritm rechèch sistèm operasyon yo etabli reyalite a nan konpwomi ak rekonstwi aksyon yo nan atakè yo, aprann ki kote zafè yo sitiye ki endike ki fichye yo te louvri dènye , kote sistèm operasyon an estoke enfòmasyon sou fason yo te telechaje ak egzekite dosye ègzèkutabl yo, ki jan atakè yo te deplase atravè rezo a, epi aprann kijan pou egzamine zafè sa yo lè l sèvi avèk BEC. Ou pral aprann tou ki evènman nan mòso bwa sistèm ki enterese nan pwen de vi envestigasyon ensidan ak deteksyon aksè aleka, epi aprann kijan pou mennen ankèt sou yo lè l sèvi avèk BEC.

Kou a pral itil nan espesyalis teknik ki detèmine rezon ki fè yo pou yon entrizyon siksè, analize chenn nan evènman ak konsekans yo nan atak cyber; administratè sistèm; anplwaye SOC ak CERT/CSIRT; anplwaye sekirite enfòmasyon.

Apèsi sou kou a

Cyber ​​​​Kill Chain dekri etap prensipal yo nan nenpòt atak teknik sou òdinatè viktim nan (oswa rezo òdinatè) jan sa a:

Aksyon anplwaye SOC yo (CERT, sekirite enfòmasyon, elatriye) vize pou anpeche entrigan jwenn aksè nan resous enfòmasyon ki pwoteje.

Si atakè yo penetre enfrastrikti ki pwoteje yo, lè sa a moun ki anwo yo ta dwe eseye minimize domaj nan aktivite atakè yo, detèmine kijan atak la te fèt, rekonstwi evènman yo ak sekans aksyon atakè yo nan estrikti enfòmasyon konpwomèt yo, epi pran. mezi pou anpeche kalite atak sa a nan lavni.

Kalite tras sa yo ka jwenn nan yon enfrastrikti enfòmasyon konpwomèt, ki endike ke rezo a (òdinatè) te konpwomèt:

Ou ka jwenn tout tras sa yo lè l sèvi avèk pwogram Belkasoft Evidence Center.

BEC gen yon modil "Envestigasyon Ensidan", kote, lè w ap analize medya depo, yo mete enfòmasyon sou zafè ki ka ede chèchè a lè l ap mennen ankèt sou ensidan yo.

BEC sipòte egzamen prensipal kalite objè Windows ki endike ekzekisyon dosye ègzèkutabl sou sistèm ankèt la, tankou Amcache, Userassist, Prefetch, BAM/DAM dosye, Windows 10 Timeline, analiz de evènman sistèm.

Enfòmasyon sou tras ki gen enfòmasyon sou aksyon itilizatè nan yon sistèm konpwomèt ka prezante nan fòm sa a:

Enfòmasyon sa a, pami lòt bagay, gen ladan enfòmasyon sou kouri dosye ègzèkutabl:

Enfòmasyon sou kouri dosye 'RDPWInst.exe'.

Enfòmasyon sou prezans atakè yo nan sistèm konpwomèt yo ka jwenn nan kle demaraj rejis Windows, sèvis, travay pwograme, scripts Logon, WMI, elatriye. Egzanp detekte enfòmasyon sou atakè yo tache ak sistèm nan ka wè nan Ekran sa yo:

Kontrent atakè yo lè l sèvi avèk pwogramasyon travay la lè yo kreye yon travay ki kouri yon script PowerShell.

Konsolide atakè yo lè l sèvi avèk Windows Management Instrumentation (WMI).

Konsolide atakè lè l sèvi avèk script Logon.

Mouvman atakè yo atravè yon rezo òdinatè konpwomèt ka detekte, pa egzanp, lè w analize mòso Windows sistèm (si atakè yo sèvi ak sèvis RDP).

Enfòmasyon sou koneksyon RDP detekte.

Enfòmasyon sou mouvman atakè yo atravè rezo a.

Kidonk, Belkasoft Evidence Center ka ede chèchè yo idantifye òdinatè konpwomèt nan yon rezo òdinatè atake, jwenn tras lansman malveyan, tras fiksasyon nan sistèm nan ak mouvman atravè rezo a, ak lòt tras aktivite atakè sou òdinatè konpwomèt.

Kouman pou fè rechèch sa yo ak detekte zafè ki dekri pi wo a dekri nan kou fòmasyon Belkasoft Egzamen Repons Ensidan an.

Plan kou:

• Tandans Cyberattack. Teknoloji, zouti, objektif atakè yo
• Sèvi ak modèl menas pou konprann taktik, teknik, ak pwosedi atakè yo
• Cyber ​​​​tiye chèn
• Algorithm repons ensidan: idantifikasyon, lokalizasyon, jenerasyon endikatè, rechèch pou nouvo nœuds ki enfekte
• Analiz de sistèm Windows lè l sèvi avèk BEC
• Deteksyon metòd enfeksyon prensipal, pwopagasyon rezo, konsolidasyon, ak aktivite rezo malveyan lè l sèvi avèk BEC
• Idantifye sistèm ki enfekte epi retabli istwa enfeksyon lè l sèvi avèk BEC
• Leson pratik

Kèk kesyon ak tout reponsKi kote kou yo fèt?
Kou yo fèt nan katye jeneral Group-IB oswa nan yon sit ekstèn (sant fòmasyon). Li posib pou yon antrenè vwayaje nan sit ki gen kliyan antrepriz.

Ki moun ki fè klas yo?
Fòmatè nan Group-IB yo se pratikan ki gen anpil ane eksperyans nan fè rechèch legal, envestigasyon antrepriz ak reponn a ensidan sekirite enfòmasyon.

Kalifikasyon fòmatè yo konfime pa anpil sètifika entènasyonal: GCFA, MCFE, ACE, EnCE, elatriye.

Fòmatè nou yo fasil jwenn yon lang komen ak odyans lan, eksplike klèman menm sijè ki pi konplèks yo. Elèv yo pral aprann anpil enfòmasyon ki enpòtan e ki enteresan sou envestigasyon sou ensidan sou òdinatè yo, metòd pou idantifye ak kontrekare atak òdinatè yo, epi jwenn konesans pratik reyèl ke yo ka aplike imedyatman apre gradyasyon.

Èske kou yo ap bay ladrès itil ki pa gen rapò ak pwodwi Belkasoft, oswa èske konpetans sa yo ap pa aplikab san lojisyèl sa a?
Konpetans yo akeri pandan fòmasyon an pral itil san yo pa itilize pwodwi Belkasoft.

Ki sa ki enkli nan tès inisyal la?

Tès Prensipal se yon tès konesans de baz yo nan òdinatè legal legal. Pa gen plan pou teste konesans nan pwodwi Belkasoft ak Group-IB.

Ki kote mwen ka jwenn enfòmasyon sou kou edikasyon konpayi an?

Nan kad kou edikasyon, Group-IB fòme espesyalis nan repons pou ensidan, rechèch malveyan, espesyalis entèlijans cyber (Threat Intelligence), espesyalis pou travay nan Sant Operasyon Sekirite (SOC), espesyalis nan lachas menas proactive (Threat Hunter), elatriye. . Gen yon lis konplè kou propriétaires nan Group-IB ki disponib isit la.

Ki bonis elèv ki konplete kou ansanm ant Group-IB ak Belkasoft resevwa?
Moun ki te konplete fòmasyon nan kou jwenti ant Group-IB ak Belkasoft ap resevwa:

1. sètifika fini kou a;
2. abònman gratis chak mwa nan Belkasoft Evidence Center;
3. 10% rabè sou acha Belkasoft Evidence Center.

N ap raple premye kou a kòmanse Lendi, 9 septanm, - pa rate opòtinite pou jwenn konesans inik nan domèn sekirite enfòmasyon, enfòmatik legal ak repons ensidan! Enskripsyon pou kou a isit la.

SousNan preparasyon atik la, nou te itilize prezantasyon an pa Oleg Skulkin "Sèvi ak lame ki baze sou forensik yo jwenn endikatè nan konpwomi pou siksè entèlijans kondwi ensidan repons."

Sous: www.habr.com