Kursên hevbeş ên Group-IB û Belkasoft: em ê çi hîn bikin û kî dê beşdar bibe

Algorîtma û taktîkên ji bo bersivdana bûyerên ewlehiya agahdariyan, meylên êrîşên sîber ên heyî, nêzîkatiyên lêkolîna levkirina daneyan di pargîdaniyan de, lêkolîna gerok û cîhazên mobîl, analîzkirina pelên şîfrekirî, derxistina daneyên erdnîgarî û analîtîkên jimarên mezin ên daneyê - van hemî û mijarên din dikare li ser qursên nû yên hevbeş ên Group-IB û Belkasoft were xwendin. Di meha Tebaxê de em ragihand yekem qursa Belkasoft Dîjîtal Forensics, ku di 9ê îlonê de dest pê dike, û piştî ku hejmarek pir pirs wergirtin, me biryar da ku em bi hûrgulî biaxivin ka xwendekar dê çi bixwînin, kîjan zanîn, jêhatî û xelat (!) ji hêla kesên ku gihîştin dawiyê. Tiştên pêşîn.

Du Hemû di yek

Fikra lidarxistina qursên perwerdehiya hevbeş piştî ku beşdarên qursa Group-IB dest bi pirskirina amûrek kir ku dê ji wan re bibe alîkar ku di vekolîna pergal û torên komputerê yên têkçûyî de, û fonksiyonên cûrbecûr karûbarên belaş ên ku em pêşniyar dikin ku di dema bersivdana bûyerê de bikar bînin berhev bikin.

Li gorî me, amûrek wusa dikare bibe Navenda Delîlên Belkasoft (me berê li ser wê axivî gotara Igor Mikhailov "Kîlîta destpêkê: nermalava çêtirîn û hardware ji bo dadweriya komputerê"). Ji ber vê yekê, me bi Belkasoft re, du qursên perwerdehiyê pêşve xistin: Belkasoft Dîjîtal Edlî и Belkasoft Bûyer Response Examination.

GIRÎNG: qurs bi rêz û bi hev ve girêdayî ne! Belkasoft Digital Forensics ji bernameya Belkasoft Evidence Center ve hatî veqetandin, û Belkasoft Incident Response Examination ji bo vekolîna bûyeran bi karanîna hilberên Belkasoft ve hatî veqetandin. Ango, berî xwendina qursa Ezmûna Bersiva Bûyerê ya Belkasoft, em bi tundî pêşniyar dikin ku qursa Dadwerî ya Dîjîtal a Belkasoft temam bikin. Ger hûn tavilê bi qursek li ser vekolînên bûyerê dest pê bikin, dibe ku xwendekar di karanîna Navenda Delîlên Belkasoft de, dîtin û lêkolîna hunerên dadrêsî de kêmasiyên zanîna acizker hebe. Ev dibe ku bibe sedema vê yekê ku di dema perwerdehiya di qursa azmûna Bersiva Bûyerê ya Belkasoft de, xwendekar dê wextê xwe nede ku materyalê serdest bike, an jî dê koma mayî di bidestxistina zanyariyên nû de hêdî bike, ji ber ku dema perwerdehiyê dê were derbas kirin. ji hêla perwerdekarê ku materyalê ji qursa Edlî ya Dîjîtal a Belkasoft rave dike.

Dadweriya komputerê bi Navenda Delîlên Belkasoft re

Armanca qursê Belkasoft Dîjîtal Edlî - xwendekaran bi bernameya Belkasoft Evidence Center bidin nasîn, wan fêr bikin ku vê bernameyê bikar bînin da ku delîlan ji çavkaniyên cihêreng berhev bikin (hilanîna ewr, bîranîna gihîştina rasthatî (RAM), cîhazên mobîl, medya hilanînê (dîskên hişk, ajokarên flash, hwd.), master teknîk û teknîkên dadwerî yên bingehîn, rêbazên vekolîna dadrêsî ya berhemên Windows, cîhazên mobîl, avêtina RAM-ê. Her weha hûn ê fêr bibin ku hunerên gerok û bernameyên peyamsaziya tavilê nas bikin û belge bikin, kopiyên dadwerî yên daneyan ji çavkaniyên cihêreng biafirînin, daneyên erdnîgariyê derxînin û lêgerînê bikin. ji bo rêzikên nivîsê (lêgerîna peyva key), dema ku lêkolînê dikin hashes bikar bînin, qeydkirina Windows-ê analîz bikin, jêhatîbûna keşfkirina databasên nenas SQLite, bingehên vekolîna pelên grafîkî û vîdyoyê, û teknîkên analîtîk ên ku di dema vekolînan de têne bikar anîn fêr bibin.

Kurs dê ji pisporên pispor ên di warê dadweriya teknîkî ya kompîturê (dadweriya komputerê) re kêrhatî be; pisporên teknîkî yên ku sedemên destwerdanek serfiraz diyar dikin, zincîra bûyeran û encamên êrîşên sîber analîz dikin; pisporên teknîkî yên ku diziya daneyan (leaks) ji hêla hundurîn (binpêkerê hundurîn) ve nas dikin û belge dikin; pisporên e-Discovery; Karmendên SOC û CERT / CSIRT; karmendên ewlehiya agahdariyê; dilxwazên edlî yên komputerê.

Plana Kursê:

• Navenda Delîlên Belkasoft (BEC): gavên pêşîn
• Afirandin û pêvajoykirina dozên li BEC
• Ji bo lêkolînên dadrêsî bi BEC re delîlên dîjîtal berhev bikin

• Bikaranîna fîlteran
• Çêkirina raporan
• Lêkolîna li ser Bernameyên Peyamsaziya Yekser

• Lêkolîna Geroka Webê

• Lêkolîna Amûra Mobîl
• Daneyên erdnîgariyê derxistin

• Di bûyeran de li rêzikên nivîsê digere
• Derxistin û analîzkirina daneyan ji depoyên ewr
• Bikaranîna nîşangiran ji bo ronîkirina delîlên girîng ên ku di dema lêkolînê de hatine dîtin
• Muayeneya pelên pergala Windows-ê

• Analîza Registry Windows
• Analîzkirina databasên SQLite

• Rêbazên Data Recovery
• Teknîkên ji bo vekolîna avêtina RAM
• Di lêkolîna dadrêsî de hesabkera hash û analîza hash bikar bînin
• Analîza pelên şîfrekirî
• Rêbazên xwendina pelên grafîkî û vîdyoyê
• Bikaranîna teknîkên analîtîk di lêkolîna dadrêsî de
• Bi karanîna zimanê bernamesaziya Belkascripts-ê ya çêkirî çalakiyên rûtîn bixweber bikin

• Dersên pratîk

Kurs: Muayeneya Bersiva Bûyerê ya Belkasoft

Armanca qursê fêrbûna bingehên lêkolîna dadrêsî ya êrîşên sîber û îmkanên karanîna Navenda Delîlên Belkasoft di lêpirsînê de ye. Hûn ê li ser vektorên sereke yên êrişên nûjen ên li ser torên komputerê fêr bibin, fêr bibin ku êrişên komputerê li ser bingeha matrixa MITER ATT&CK dabeş bikin, algorîtmayên lêkolîna pergala xebitandinê bicîh bikin da ku rastiya lihevhatinê saz bikin û kiryarên êrişkeran ji nû ve ava bikin, fêr bibin ka li ku derê huner hene ku destnîşan bikin ka kîjan pelên dawîn hatine vekirin, li ku derê pergala xebitandinê agahdarî li ser ka pelên îcrakar çawa hatine dakêşandin û darvekirin, çawa êrîşkar li seranserê torê geriyan, û fêr bibin ka meriv çawa van huneran bi karanîna BEC vekolîne. Her weha hûn ê fêr bibin ka çi bûyerên di têketinên pergalê de ji hêla vekolîna bûyerê û vedîtina gihîştina dûr ve balkêş in, û fêr bibin ka meriv çawa bi karanîna BEC-ê li wan lêkolîn dike.

Kurs dê ji pisporên teknîkî re kêrhatî be ku sedemên destwerdanek serfiraz diyar dikin, zincîreyên bûyeran û encamên êrîşên sîber analîz dikin; rêveberên pergalê; Karmendên SOC û CERT / CSIRT; karmendên ewlehiya agahdariyê.

Kurs Overview

Cyber ​​Kill Chain qonaxên sereke yên her êrişek teknîkî ya li ser komputerên mexdûr (an tora komputerê) wiha vedibêje:

Kiryarên xebatkarên SOCê (CERT, ewlehiya agahdarî, hwd.) bi mebesta ku nehêlin ku destwerdan bigihîjin çavkaniyên agahdariya parastî.

Ger êrîşkar derbasî binesaziya parastî bibin, wê hingê divê kesên jorîn hewl bidin ku zirara ji çalakiyên êrîşkeran kêm bikin, diyar bikin ka êrîş çawa hatiye kirin, bûyer û rêza kiryarên êrîşkaran di avahiya agahdariya lihevhatî de ji nû ve ava bikin, û bigirin. tedbîrên ji bo pêşîgirtina bi vî rengî ya êrîşê di pêşerojê de.

Cûreyên jêrîn dikarin di binesaziyek agahdarî ya têkçûyî de werin dîtin, ku destnîşan dikin ku torê (komputer) têkçûye:

Hemî şopên weha bi karanîna bernameya Navenda Delîlên Belkasoft têne dîtin.

BEC xwedan modulek "Lêpirsîna Bûyerê" ye, li wir, dema ku medya hilanînê analîz dike, agahdariya li ser huneran tête danîn ku dikare di dema lêkolîna bûyeran de alîkariya lêkolîner bike.

BEC piştgirî dide vekolîna celebên sereke yên hunerên Windows-ê yên ku pêkanîna pelên darvekirî yên li ser pergala di bin lêpirsînê de destnîşan dikin, di nav de pelên Amcache, Userassist, Prefetch, BAM/DAM, Windows 10 Demjimêr,analîzkirina bûyerên pergalê.

Agahdariya li ser şopên ku agahdariya li ser kiryarên bikarhêner di pergalek lihevhatî de vedihewîne dikare di forma jêrîn de were pêşkêş kirin:

Ev agahdarî, di nav tiştên din de, agahdarî di derbarê pelên darvekirinê de dihewîne:

Agahdariya li ser xebitandina pelê 'RDPWInst.exe'.

Agahdariya li ser hebûna êrîşkaran di pergalên lihevhatî de dikare di bişkojkên destpêkirina qeydkirina Windows, karûbar, peywirên plansazkirî, nivîsarên têketinê, WMI, hwd de were dîtin. Nimûneyên tespîtkirina agahdariya di derheqê êrişkerên ku bi pergalê ve girêdayî ne di dîmenên jêrîn de têne dîtin:

Bi çêkirina peywirek ku skrîptek PowerShell-ê dimeşîne, êrîşkeran bi karanîna nexşerêya peywirê ve girêdide.

Yekkirina êrîşkaran bi karanîna Amûrên Rêvebiriya Windows (WMI).

Yekkirina êrîşkaran bi karanîna tîpa Têketinê.

Tevgera êrîşkaran di nav torgilokek komputerê ya têkçûyî de dikare were tespît kirin, mînakî, bi analîzkirina têketinên pergala Windows-ê (heke êrîşkar karûbarê RDP bikar bînin).

Agahdariya li ser girêdanên RDP-ê yên naskirî.

Agahiyên li ser tevgera êrîşkaran li seranserê torê.

Bi vî rengî, Belkasoft Evidence Center dikare ji lêkolîneran re bibe alîkar ku di torgilokek komputerê ya êrîşkirî de komputerên lihevhatî nas bikin, şopên destpêkirina malware, şopên rastkirina pergalê û tevgera li seranserê torê, û şopên din ên çalakiya êrîşkar li ser komputerên têkçûyî bibînin.

Meriv çawa lêkolînek wusa bi rê ve dibe û hunerên ku li jor hatine destnîşan kirin di qursa perwerdehiyê ya Belkasoft Incident Response Examination de tête diyar kirin.

Plana Kursê:

• Trendên êrîşa sîber. Teknolojî, amûr, armancên êrîşkaran
• Bikaranîna modelên gefxwarinê ji bo fêmkirina taktîk, teknîk û prosedurên êrîşker
• Zincîra kuştina sîber
• Algorîtmaya bersivdayîna bûyerê: Nasname, herêmîkirin, hilberîna nîşanan, lêgerîna li girêkên nû yên vegirtî
• Analîza pergalên Windows-ê ku BEC bikar tînin
• Tespîtkirina rêbazên enfeksiyona seretayî, belavbûna torê, hevgirtin, û çalakiya torê ya malware bi karanîna BEC
• Pergalên vegirtî nas bikin û dîroka enfeksiyonê bi karanîna BEC-ê vegerînin
• Dersên pratîk

Pirs û BersîvKurs li ku tên lidarxistin?
Kurs li navenda Group-IB an li cîhek derveyî (navenda perwerdehiyê) têne kirin. Ji bo perwerdekarek gengaz e ku biçe malperên ku bi xerîdarên pargîdanî re hene.

Kî dersan pêk tîne?
Perwerdekarên li Group-IB bijîjkên xwedan ezmûna gelek salan in di meşandina lêkolîna dadrêsî, vekolînên pargîdanî û bersivdana bûyerên ewlehiya agahdariyê de.

Kalîteyên perwerdekaran ji hêla gelek sertîfîkayên navneteweyî ve têne pejirandin: GCFA, MCFE, ACE, EnCE, hwd.

Rahênerên me bi hêsanî bi temaşevanan re zimanek hevpar peyda dikin, mijarên herî tevlihev jî bi zelalî rave dikin. Xwendekar dê di derbarê lêkolîna bûyerên komputerê, rêbazên nasandin û berevajîkirina êrîşên komputerê de gelek agahdariya têkildar û balkêş fêr bibin û zanyariyên pratîkî yên rastîn bistînin ku ew dikarin tavilê piştî mezûniyetê bicîh bînin.

Dê qurs jêhatîbûnên bikêr ên ku bi hilberên Belkasoft re ne têkildar peyda bikin, an dê ev jêhatî bêyî vê nermalavê nekarbibin?
Zehmetiyên ku di dema perwerdehiyê de hatine bidestxistin dê bêyî karanîna hilberên Belkasoft bikêr bin.

Di ceribandina destpêkê de çi tê de heye?

Testkirina seretayî ceribandinek zanîna bingehên dadweriya komputerê ye. Ti plan tune ku zanîna hilberên Belkasoft û Group-IB ceribandin.

Ez dikarim li ku derê agahdarî li ser qursên perwerdehiya pargîdaniyê bibînim?

Wekî beşek ji qursên perwerdehiyê, Group-IB pisporan di bersivdayîna bûyeran de, lêkolîna malware, pisporên îstîxbarata sîber (Threat Intelligence), pisporên ku di Navenda Operasyona Ewlekariyê (SOC) de dixebitin, pisporên di nêçîra tehdîdên proaktîf de (Threat Hunter), hwd. . Navnîşek bêkêmasî ya qursên xwedan ji Group-IB heye vir.

Xwendekarên ku qursên hevbeş di navbera Group-IB û Belkasoft de temam dikin çi bonusan digirin?
Kesên ku di qursên hevbeş ên di navbera Group-IB û Belkasoft de perwerdehiyê qedandine dê bistînin:

1. belgeya qedandina qursê;
2. abonetiya mehane ya belaş a Navenda Delîlên Belkasoft;
3. 10% erzanî li ser kirîna Navenda Delîlên Belkasoft.

Em bi bîr tînin ku qursa yekem roja Duşemê dest pê dike, Septemberê 9, - fersendê ji dest nedin ku hûn di warê ewlehiya agahdarî, dadweriya komputerê û bersivdana bûyeran de zanyariyên bêhempa bistînin! Registration ji bo kursê vir.

ÇavkaniyênDi amadekirina gotarê de, me pêşandana Oleg Skulkin bikar anî "Bikaranîna dadwerî-bingeha mêvandar ji bo bidestxistina nîşanên lihevkirinê ji bo bersivdana bûyera serketî ya îstîxbaratê."

Source: www.habr.com