Group-IB와 Belkasoft의 공동 강좌: 우리가 무엇을 가르칠 것이며 누구를 가르칠 것인가

정보 보안 사고 대응을 위한 알고리즘 및 전술, 현재 사이버 공격 동향, 기업의 데이터 유출 조사 접근 방식, 브라우저 및 모바일 장치 조사, 암호화된 파일 분석, 위치 정보 데이터 추출 및 대용량 데이터 분석 등 모든 주제와 기타 주제 Group-IB와 Belkasoft의 새로운 공동 강좌를 수강할 수 있습니다. XNUMX월에 우리는 발표 9월 XNUMX일에 시작되는 첫 번째 Belkasoft Digital Forensics 과정은 많은 질문을 받은 후 학생들이 무엇을 공부할지, 어떤 지식, 역량 및 보너스(!)를 받게 될지에 대해 더 자세히 이야기하기로 결정했습니다. 끝까지 도달하십시오. 먼저 첫 번째 것들.

두 올인원

공동 교육 과정을 개최한다는 아이디어는 Group-IB 과정 참가자들이 손상된 컴퓨터 시스템 및 네트워크를 조사하는 데 도움이 되는 도구에 대해 질문하고 사고 대응 중에 사용하도록 권장하는 다양한 무료 유틸리티의 기능을 결합한 후에 나타났습니다.

우리 의견으로는 그러한 도구가 Belkasoft Evidence Center일 수 있습니다. 기사 Igor Mikhailov "시작의 핵심: 컴퓨터 법의학을 위한 최고의 소프트웨어 및 하드웨어"). 따라서 우리는 Belkasoft와 함께 두 가지 교육 과정을 개발했습니다. Belkasoft 디지털 포렌식 и Belkasoft 사고 대응 조사.

중요: 강좌는 순차적이며 상호 연결되어 있습니다! Belkasoft Digital Forensics는 Belkasoft Evidence Center 프로그램을 전담하고 있으며 Belkasoft Incident Response Examination은 Belkasoft 제품을 사용한 사고 조사를 전담하고 있습니다. 즉, Belkasoft 사고 대응 시험 과정을 공부하기 전에 Belkasoft Digital Forensics 과정을 이수하는 것이 좋습니다. 사건 조사 과정을 바로 시작하면 학생은 Belkasoft Evidence Center를 사용하고 법의학 유물을 찾고 조사하는 데 성가신 지식 격차를 겪을 수 있습니다. 이는 Belkasoft 사고 대응 시험 과정 교육 중에 학생이 자료를 숙지할 시간이 없거나 교육 시간이 소요되기 때문에 나머지 그룹이 새로운 지식을 습득하는 속도를 늦출 수 있다는 사실로 이어질 수 있습니다. Belkasoft Digital Forensics 과정의 자료를 설명하는 트레이너의 설명입니다.

Belkasoft Evidence Center를 통한 컴퓨터 법의학

코스의 목적 Belkasoft 디지털 포렌식 — 학생들에게 Belkasoft Evidence Center 프로그램을 소개하고, 이 프로그램을 사용하여 다양한 소스(클라우드 저장소, RAM(Random Access Memory), 모바일 장치, 저장 매체(하드 드라이브, 플래시 드라이브 등)), 마스터에서 증거를 수집하는 방법을 가르칩니다. 기본 포렌식 기술 및 기술, Windows 아티팩트, 모바일 장치, RAM 덤프에 대한 포렌식 조사 방법. 또한 브라우저 및 인스턴트 메시징 프로그램의 아티팩트를 식별 및 문서화하고, 다양한 소스에서 데이터의 포렌식 복사본을 생성하고, 지리적 위치 데이터를 추출하고 검색하는 방법을 배웁니다. 텍스트 시퀀스(키워드로 검색), 연구 수행 시 해시 사용, Windows 레지스트리 분석, 알려지지 않은 SQLite 데이터베이스 탐색 기술, 그래픽 및 비디오 파일 검사의 기본 및 조사 중에 사용되는 분석 기술을 습득합니다.

이 과정은 컴퓨터 기술 포렌식(컴퓨터 포렌식) 분야를 전문으로 하는 전문가에게 유용할 것입니다. 성공적인 침입 이유를 파악하고 일련의 사건과 사이버 공격의 결과를 분석하는 기술 전문가 내부자(내부 위반자)에 의한 데이터 도난(유출)을 식별하고 문서화하는 기술 전문가 e-Discovery 전문가; SOC 및 CERT/CSIRT 직원; 정보 보안 직원; 컴퓨터 법의학 매니아.

코스 계획:

• Belkasoft 증거 센터(BEC): 첫 번째 단계
• BEC에서 사례 생성 및 처리
• BEC를 통해 법의학 조사를 위한 디지털 증거 수집

• 필터 사용
• 보고
• 인스턴트 메시징 프로그램 연구

• 웹 브라우저 연구

• 모바일 기기 연구
• 지리적 위치 데이터 추출

• 케이스에서 텍스트 시퀀스 검색
• 클라우드 스토리지에서 데이터 추출 및 분석
• 북마크를 사용하여 연구 중에 발견된 중요한 증거 강조
• Windows 시스템 파일 검사

• Windows 레지스트리 분석
• SQLite 데이터베이스 분석

• 데이터 복구 방법
• RAM 덤프를 검사하는 기술
• 법의학 연구에서 해시 계산기 및 해시 분석 사용
• 암호화된 파일 분석
• 그래픽 및 비디오 파일을 연구하는 방법
• 법의학 연구에서 분석 기술의 사용
• 내장된 Belkascripts 프로그래밍 언어를 사용하여 일상적인 작업을 자동화합니다.

• 실습

과정: Belkasoft 사고 대응 시험

이 과정의 목적은 사이버 공격에 대한 법의학 조사의 기초와 조사에 Belkasoft Evidence Center를 사용할 수 있는 가능성을 배우는 것입니다. 컴퓨터 네트워크에 대한 최신 공격의 주요 벡터에 대해 배우고, MITRE ATT&CK 매트릭스를 기반으로 컴퓨터 공격을 분류하는 방법을 배우고, 운영 체제 연구 알고리즘을 적용하여 손상 사실을 확인하고 공격자의 행동을 재구성하고, 아티팩트가 어디에 있는지 알아봅니다. 마지막으로 열린 파일, 운영 체제가 실행 파일을 다운로드하고 실행한 방법, 공격자가 네트워크를 통해 이동한 방법에 대한 정보를 저장하는 위치를 표시하고 BEC를 사용하여 이러한 아티팩트를 검사하는 방법을 알아봅니다. 또한 사고 조사 및 원격 액세스 감지 관점에서 시스템 로그의 어떤 이벤트에 관심이 있는지 알아보고 BEC를 사용하여 이를 조사하는 방법도 알아봅니다.

이 과정은 성공적인 침입의 원인을 파악하고 일련의 사건과 사이버 공격의 결과를 분석하는 기술 전문가에게 유용합니다. 시스템 관리자; SOC 및 CERT/CSIRT 직원; 정보보안 직원.

강의 개요

사이버 킬 체인은 피해자의 컴퓨터(또는 컴퓨터 네트워크)에 대한 기술적 공격의 주요 단계를 다음과 같이 설명합니다.

SOC 직원(CERT, 정보 보안 등)의 조치는 침입자가 보호된 정보 자원에 접근하는 것을 방지하는 것을 목표로 합니다.

공격자가 보호된 인프라에 침투한 경우 위의 사람들은 공격자의 활동으로 인한 피해를 최소화하고, 공격이 어떻게 수행되었는지 확인하고, 손상된 정보 구조에서 공격자의 이벤트 및 일련의 동작을 재구성하고, 조치를 취해야 합니다. 앞으로 이러한 유형의 공격을 방지하기 위한 조치입니다.

손상된 정보 인프라에서 다음과 같은 유형의 추적을 찾을 수 있으며 이는 네트워크(컴퓨터)가 손상되었음을 나타냅니다.

이러한 모든 흔적은 Belkasoft Evidence Center 프로그램을 사용하여 찾을 수 있습니다.

BEC에는 '사고 조사' 모듈이 있어 저장 매체를 분석할 때 연구자가 사고를 조사하는 데 도움이 될 수 있는 유물에 대한 정보가 배치됩니다.

BEC는 Amcache, Userassist, Prefetch, BAM/DAM 파일을 포함하여 조사 중인 시스템에서 실행 파일의 실행을 나타내는 주요 유형의 Windows 아티팩트 검사를 지원합니다. Windows 10 타임 라인,시스템 이벤트 분석.

손상된 시스템의 사용자 작업에 대한 정보가 포함된 추적 정보는 다음 형식으로 표시될 수 있습니다.

이 정보에는 무엇보다도 실행 파일 실행에 대한 정보가 포함됩니다.

'RDPWINst.exe' 파일 실행에 대한 정보입니다.

손상된 시스템에 공격자가 존재한다는 정보는 Windows 레지스트리 시작 키, 서비스, 예약된 작업, 로그온 스크립트, WMI 등에서 찾을 수 있습니다. 시스템에 연결된 공격자에 대한 정보를 탐지하는 예는 다음 스크린샷에서 볼 수 있습니다.

PowerShell 스크립트를 실행하는 작업을 생성하여 작업 스케줄러를 사용하는 공격자를 제한합니다.

WMI(Windows Management Instrumentation)를 사용하여 공격자를 통합합니다.

로그온 스크립트를 사용하여 공격자를 통합합니다.

예를 들어, Windows 시스템 로그를 분석하여(공격자가 RDP 서비스를 사용하는 경우) 손상된 컴퓨터 네트워크를 통한 공격자의 이동을 감지할 수 있습니다.

감지된 RDP 연결에 대한 정보입니다.

네트워크 전반에 걸친 공격자의 이동에 대한 정보입니다.

따라서 Belkasoft Evidence Center는 연구원들이 공격받은 컴퓨터 네트워크에서 손상된 컴퓨터를 식별하고, 맬웨어 실행 흔적, 시스템 고정 흔적, 네트워크 전반에 걸친 이동 흔적, 손상된 컴퓨터에서 공격자 활동에 대한 기타 흔적을 찾는 데 도움을 줄 수 있습니다.

이러한 연구를 수행하고 위에 설명된 아티팩트를 탐지하는 방법은 Belkasoft 사고 대응 시험 교육 과정에 설명되어 있습니다.

코스 계획:

• 사이버 공격 동향. 공격자의 기술, 도구, 목표
• 위협 모델을 사용하여 공격자의 전술, 기술 및 절차를 이해합니다.
• 사이버 킬체인
• 사고 대응 알고리즘: 식별, 위치 파악, 지표 생성, 신규 감염 노드 검색
• BEC를 사용한 Windows 시스템 분석
• BEC를 활용한 악성코드의 XNUMX차 감염 방법, 네트워크 확산, 통합, 네트워크 활동 탐지
• BEC를 사용하여 감염된 시스템 식별 및 감염 기록 복원
• 실습

자주하는 질문강좌는 어디에서 진행되나요?
강좌는 Group-IB 본사 또는 외부 사이트(교육센터)에서 진행됩니다. 기업 고객과 함께 트레이너가 현장을 방문하는 것이 가능합니다.

수업은 누가 진행하나요?
Group-IB의 트레이너는 법의학 연구, 기업 조사 및 정보 보안 사고 대응 분야에서 다년간의 경험을 보유한 실무자입니다.

강사의 자격은 GCFA, MCFE, ACE, EnCE 등 수많은 국제 인증서로 확인됩니다.

우리 트레이너는 청중과 공통 언어를 쉽게 찾고 가장 복잡한 주제도 명확하게 설명합니다. 학생들은 컴퓨터 사고 조사, 컴퓨터 공격 식별 및 대응 방법에 관한 많은 관련 있고 흥미로운 정보를 배우고, 졸업 후 즉시 적용할 수 있는 실질적인 실무 지식을 얻습니다.

과정은 Belkasoft 제품과 관련되지 않은 유용한 기술을 제공합니까, 아니면 이 소프트웨어 없이는 이러한 기술을 적용할 수 없습니까?
교육 중에 습득한 기술은 Belkasoft 제품을 사용하지 않고도 유용할 것입니다.

초기 테스트에는 무엇이 포함되나요?

XNUMX차 테스트는 컴퓨터 포렌식의 기본 지식에 대한 테스트입니다. Belkasoft 및 Group-IB 제품에 대한 지식을 테스트할 계획은 없습니다.

회사의 교육과정에 대한 정보는 어디서 찾을 수 있나요?

Group-IB는 교육 과정의 일환으로 사고 대응 전문가, 악성 코드 연구 전문가, 사이버 인텔리전스 전문가(Threat Intelligence), 보안 운영 센터(SOC)에서 근무할 전문가, 사전 위협 사냥 전문가(Threat Hunter) 등을 교육합니다. . Group-IB의 독점 강좌 전체 목록을 이용할 수 있습니다. 여기에.

Group-IB와 Belkasoft 간 공동 강좌를 이수한 학생들은 어떤 보너스를 받나요?
Group-IB와 Belkasoft 간의 공동 과정 교육을 이수한 사람은 다음을 받게 됩니다.

1. 과정 수료 증명서;
2. Belkasoft Evidence Center 월간 무료 구독;
3. 벨카소프트 증거센터 구매시 10% 할인.

첫 번째 코스는 월요일에 시작된다는 점을 알려드립니다. 9 9월, - 정보 보안, 컴퓨터 포렌식 및 사고 대응 분야에서 고유한 지식을 얻을 수 있는 기회를 놓치지 마세요! 강좌 등록 여기에.

소스기사를 준비하면서 우리는 Oleg Skulkin의 "호스트 기반 포렌식을 사용하여 성공적인 인텔리전스 기반 사고 대응을 위한 손상 지표 얻기" 프레젠테이션을 사용했습니다.

출처 : habr.com