Group-IB жана Belkasoft биргелешкен курстары: биз эмнени үйрөтөбүз жана кимдер келет

Маалыматтык коопсуздук инциденттерине жооп берүү алгоритмдери жана тактикасы, учурдагы киберчабуулдардын тенденциялары, компаниялардагы маалыматтардын агып кетишин иликтөө ыкмалары, браузерлерди жана мобилдик түзүлүштөрдү изилдөө, шифрленген файлдарды талдоо, геолокация маалыматтарын алуу жана чоң көлөмдөгү маалыматтардын аналитикасы - ушул жана башка темалар Group-IB жана Belkasoft жаңы биргелешкен курстарында окуса болот. Август айында биз жарыялады 9-сентябрда башталган биринчи Belkasoft Digital Криминалистика курсу жана көптөгөн суроолорду алып, биз студенттер эмнени окуй тургандыгы, кандай билим, компетенция жана бонустарды (!) ала тургандыгы жөнүндө кененирээк сүйлөшүүнү чечтик. аягына жетүү. Биринчи нерселер биринчи.

Эки Баары бир

Биргелешкен окуу курстарын өткөрүү идеясы Group-IB курсунун катышуучулары бузулган компьютердик системаларды жана тармактарды изилдөөгө жардам бере турган курал жөнүндө сурай баштагандан кийин пайда болгон жана биз инцидентке жооп берүү учурунда колдонууну сунуштайбыз.

Биздин оюбузча, мындай курал Belkasoft Evidence Center болушу мүмкүн (биз бул жөнүндө мурунтан эле айтканбыз макала Игорь Михайлов "Баштын ачкычы: компьютердик криминалистика үчүн эң мыкты программалык камсыздоо жана аппараттык камсыздоо"). Ошондуктан, биз Belkasoft менен биргеликте эки окуу курсун иштеп чыктык: Belkasoft Digital Криминалистика и Belkasoft Incident Response Experiment.

МААНИЛҮҮ: курстар ырааттуу жана өз ара байланышта! Belkasoft Digital Криминалистика Belkasoft Evidence Center программасына арналган жана Belkasoft Incident Response Examination Belkasoft өнүмдөрүн колдонуу менен болгон окуяларды иликтөөгө арналган. Башкача айтканда, Belkasoft Incident Response Examination курсун окуудан мурун, биз Belkasoft Digital Forensics курсун бүтүрүүнү сунуштайбыз. Эгер сиз дароо окуяны иликтөө курсунан баштасаңыз, студент Belkasoft Далилдер борборун колдонууда, соттук-медициналык экспонаттарды табууда жана изилдөөдө тажатма билимде кемчиликтерге ээ болушу мүмкүн. Бул Belkasoft Incident Response Examination курсунда окутуу учурунда студенттин материалды өздөштүрүүгө убактысы болбой калышына же жаңы билимдерди алууда топтун калган бөлүгүн жайлатып кетишине алып келиши мүмкүн, анткени окуу убактысы сарпталат. Белкасофт Санариптик Криминалистика курсунун материалын түшүндүрүп жаткан тренер тарабынан.

Belkasoft далил борбору менен компьютердик криминалистика

Курстун максаты Belkasoft Digital Криминалистика — студенттерди Belkasoft Evidence Center программасы менен тааныштыруу, бул программаны ар кандай булактардан (булуттагы сактагыч, кокус жетүү эстутум (RAM), мобилдик түзүлүштөр, сактагычтар (катуу дисктер, флеш-дисктер ж.б.)) далилдерди чогултуу үчүн колдонууга үйрөтүү, мастер Негизги криминалистикалык техникалар жана ыкмалар, Windows артефакттарын, мобилдик түзүлүштөрдү, RAM таштандыларын соттук экспертизадан өткөрүү ыкмалары Сиз ошондой эле браузерлердин жана заматта кабарлашуу программаларынын экспонаттарын аныктоону жана документтештирүүнү, ар кандай булактардан маалыматтардын криминалистикалык көчүрмөлөрүн түзүүнү, геолокация маалыматтарын чыгарууну жана издөөнү үйрөнөсүз. текст ырааттуулугу үчүн (ачкыч сөздөр боюнча издөө), изилдөө жүргүзүүдө хэштерди колдонуңуз, Windows реестрин талдаңыз, белгисиз SQLite маалымат базаларын изилдөө көндүмдөрүн, графикалык жана видео файлдарды изилдөөнүн негиздерин жана иликтөөдө колдонулган аналитикалык ыкмаларды өздөштүрүү.

Курс компьютердик-техникалык криминалистика (компьютердик криминалистика) тармагында адистешкен адистер үчүн пайдалуу болот; ийгиликтүү чабуулдун себептерин аныктоочу, окуялардын чынжырын жана киберчабуулдардын кесепеттерин талдоочу техникалык адистер; инсайдер (ички тартип бузуучу) тарабынан маалыматтарды уурдоону (агызып кетүүсүн) аныктаган жана документтештирген техникалык адистер; e-Discovery боюнча адистер; SOC жана CERT/CSIRT кызматкерлери; маалыматтык коопсуздук кызматкерлери; компьютердик криминалистика ышкыбоздору.

Курс планы:

• Belkasoft Далил борбору (BEC): биринчи кадамдар
• БЭКте иштерди түзүү жана кароо
• BEC менен соттук иликтөөлөр үчүн санариптик далилдерди чогултуу

• Чыпкаларды колдонуу
• Отчетторду түзүү
• Заматта кабарлашуу программалары боюнча изилдөө

• Веб браузер изилдөө

• Мобилдик түзмөк изилдөө
• Геолокация маалыматтары алынууда

• учурларда текст ырааттуулугун издөө
• Булут сактагычтарынан маалыматтарды алуу жана талдоо
• Изилдөө учурунда табылган олуттуу далилдерди баса белгилөө үчүн кыстармаларды колдонуу
• Windows системалык файлдарын текшерүү

• Windows реестрин талдоо
• SQLite маалымат базаларын талдоо

• Маалыматтарды калыбына келтирүү ыкмалары
• RAM таштандыларын изилдөө ыкмалары
• Соттук изилдөөдө хэш калькуляторду жана хэш анализин колдонуу
• Шифрленген файлдарды талдоо
• Графикалык жана видеофайлдарды изилдөө ыкмалары
• Криминалистикалык изилдөөдө аналитикалык ыкмаларды колдонуу
• Камтылган Belkascripts программалоо тилин колдонуу менен күнүмдүк аракеттерди автоматташтыруу

• Практикалык сабактар

Курс: Belkasoft Incident Response Examination

Курстун максаты кибер чабуулдарды соттук иликтөөнүн негиздерин жана тергөөдө Belkasoft Evidence Center колдонуу мүмкүнчүлүктөрүн үйрөнүү болуп саналат. Сиз компьютердик тармактарга заманбап чабуулдардын негизги векторлору менен таанышасыз, MITER ATT&CK матрицасы боюнча компьютердик чабуулдарды классификациялоону үйрөнөсүз, компромисс фактысын аныктоо жана чабуулчулардын аракеттерин реконструкциялоо үчүн операциялык системаны изилдөө алгоритмдерин колдоносуз, артефакттар кайда жайгашканын билесиз. кайсы файлдар акыркы жолу ачылганын көрсөтүңүз, операциялык тутум аткарылуучу файлдар кантип жүктөлүп жана аткарылганы, чабуулчулар тармак боюнча кантип жылганы тууралуу маалыматты сактайт жана BEC аркылуу бул артефакттарды кантип текшерүүнү үйрөнүңүз. Сиз ошондой эле инциденттерди иликтөө жана алыстан кирүү мүмкүнчүлүгүн аныктоо көз карашынан алганда системалык журналдардагы кандай окуялар кызыкдар экенин жана BEC аркылуу аларды кантип иликтөөнү үйрөнөсүз.

Курс ийгиликтүү интрузиянын себептерин аныктаган, окуялардын чынжырларын жана киберчабуулдардын кесепеттерин талдаган техникалык адистер үчүн пайдалуу болот; системалык администраторлор; SOC жана CERT/CSIRT кызматкерлери; маалыматтык коопсуздук кызматкерлери.

Курска сереп салуу

Cyber ​​​​Kill Chain жабырлануучунун компьютерлерине (же компьютер тармагына) жасалган ар кандай техникалык чабуулдун негизги этаптарын төмөндөгүдөй сүрөттөйт:

SOC кызматкерлеринин иш-аракеттери (CERT, маалыматтык коопсуздук ж.б.) зыянкечтердин корголгон маалымат ресурстарына кирүүсүнө жол бербөөгө багытталган.

Эгерде чабуулчулар корголгон инфраструктурага кирип кетсе, анда жогорудагы адамдар чабуулчулардын ишмердүүлүгүнөн келтирилген зыянды минималдаштырууга аракет кылышы керек, чабуул кандай жасалганын аныктап, бузулган маалыматтык структурадагы окуяларды жана чабуулчулардын аракеттеринин ырааттуулугун калыбына келтириши керек. келечекте мындай кол салууга жол бербөө боюнча чаралар.

Тармактын (компьютердин) бузулганын көрсөтүүчү бузулган маалымат инфраструктурасында издердин төмөнкү түрлөрүн табууга болот:

Бардык мындай издер Belkasoft Evidence Center программасын колдонуу менен тапса болот.

BECде “Инциденттерди иликтөө” модулу бар, анда сактагычты талдоодо, инциденттерди иликтөөдө изилдөөчүгө жардам бере турган артефакттар жөнүндө маалымат жайгаштырылат.

BEC Windows артефакттарынын негизги түрлөрүн, анын ичинде Amcache, Userassist, Prefetch, BAM/DAM файлдарын, анын ичинде иликтенип жаткан системада аткарылуучу файлдардын аткарылышын көрсөткөн экспертизаны колдойт. Windows 10 Timeline,системалык окуяларды талдоо.

Колдонуучунун бузулган системадагы аракеттери жөнүндө маалыматты камтыган издер жөнүндө маалымат төмөнкү формада берилиши мүмкүн:

Бул маалымат, башка нерселер менен катар, аткарылуучу файлдарды иштетүү жөнүндө маалыматты камтыйт:

'RDPWInst.exe' файлын иштетүү жөнүндө маалымат.

Кол салуучулардын бузулган системаларда болушу жөнүндө маалыматты Windows реестринин баштоо ачкычтарынан, кызматтарынан, пландаштырылган тапшырмалардан, кирүү скрипттеринен, WMI ж.б. тапса болот. Системага тиркелген чабуулчулар жөнүндө маалыматты аныктоо мисалдарын төмөнкү скриншоттордон көрүүгө болот:

PowerShell скриптин иштеткен тапшырманы түзүү аркылуу тапшырма пландоочу аркылуу чабуулчуларды чектөө.

Windows Management Instrumentation (WMI) аркылуу чабуулчуларды консолидациялоо.

Logon скриптинин жардамы менен чабуулчуларды консолидациялоо.

Кол салуучулардын бузулган компьютер тармагы боюнча кыймылын, мисалы, Windows тутумунун журналдарын талдоо аркылуу аныктоого болот (эгерде чабуулчулар RDP кызматын колдонсо).

Табылган RDP байланыштары жөнүндө маалымат.

Тармак боюнча чабуулчулардын кыймылы тууралуу маалымат.

Ошентип, Belkasoft Evidence Center изилдөөчүлөргө чабуулга учураган компьютердик тармактагы бузулган компьютерлерди аныктоого, кесепеттүү программанын ишке киришинин издерин, системадагы фиксациянын жана тармак боюнча кыймылдын издерин жана бузулган компьютерлердеги чабуулчулардын аракеттеринин башка издерин табууга жардам берет.

Мындай изилдөөлөрдү жүргүзүү жана жогоруда сүрөттөлгөн артефакттарды кантип аныктоо Belkasoft Incident Response Examination окуу курсунда сүрөттөлөт.

Курс планы:

• Киберчабуул тенденциялары. Технологиялар, куралдар, чабуулчулардын максаттары
• Кол салуучунун тактикасын, ыкмаларын жана процедураларын түшүнүү үчүн коркунуч моделдерин колдонуу
• Кибер өлтүрүү чынжыр
• Инцидентке жооп берүү алгоритми: идентификация, локализация, индикаторлорду генерациялоо, жаңы жуккан түйүндөрдү издөө
• BEC аркылуу Windows системаларын талдоо
• BEC аркылуу кесепеттүү программанын баштапкы инфекциянын, тармактын жайылышынын, консолидациясынын жана тармактык активдүүлүгүнүн ыкмаларын аныктоо
• BEC аркылуу жуккан системаларды аныктоо жана инфекция тарыхын калыбына келтирүү
• Практикалык сабактар

FAQКурстар кайда өткөрүлөт?
Курстар Group-IB штаб-квартирасында же тышкы сайтта (окуу борборунда) өткөрүлөт. Тренер корпоративдик кардарлары бар сайттарды кыдырса болот.

Сабактарды ким өткөрөт?
Group-IB тренерлери соттук изилдөөлөрдү жүргүзүүдө, корпоративдик иликтөөлөрдү жүргүзүүдө жана маалыматтык коопсуздук инциденттерине жооп кайтарууда көп жылдык тажрыйбасы бар практиктер.

Тренерлердин квалификациясы көптөгөн эл аралык сертификаттар менен тастыкталган: GCFA, MCFE, ACE, EnCE ж.б.

Биздин тренерлер эң татаал темаларды да так түшүндүрүп, аудитория менен оңой тил табышат. Студенттер компьютердик инциденттерди иликтөө, компьютердик чабуулдарды аныктоо жана ага каршы туруу ыкмалары боюнча көптөгөн актуалдуу жана кызыктуу маалыматтарды үйрөнүшөт жана окууну аяктагандан кийин дароо колдоно ала турган чыныгы практикалык билимге ээ болушат.

Курстар Belkasoft өнүмдөрүнө тиешеси жок пайдалуу көндүмдөрдү береби же бул программасыз бул көндүмдөрдү колдонууга болбойт?
Тренинг учурунда алынган көндүмдөр Belkasoft өнүмдөрүн колдонбостон пайдалуу болот.

Алгачкы тестирлөөгө эмнелер кирет?

Баштапкы тестирлөө – бул компьютердик криминалистика негиздери боюнча билимди текшерүү. Belkasoft жана Group-IB продукциялары боюнча билимди текшерүү планы жок.

Компаниянын билим берүү курстары тууралуу маалыматты кайдан тапсам болот?

Билим берүү курстарынын алкагында Group-IB инциденттерге жооп берүү, зыяндуу программаларды изилдөө, кибер чалгындоо боюнча адистерди (Threat Intelligence), Коопсуздук Операция борборунда (SOC) иштөө үчүн адистерди, проактивдүү коркунучтарга аңчылык кылуу боюнча адистерди (Threat Hunter) окутат. . Group-IB компаниясынын менчик курстарынын толук тизмеси бар бул жерде.

Group-IB жана Belkasoft ортосунда биргелешкен курстарды аяктаган студенттер кандай бонустарды алышат?
Group-IB жана Belkasoft ортосундагы биргелешкен курстарда окууну аяктагандар:

1. курсту аяктагандыгы жөнүндө сертификат;
2. Belkasoft далил борборуна ай сайын акысыз жазылуу;
3. Belkasoft далил борборун сатып алууда 10% арзандатуу.

Эскерте кетсек, биринчи курс дүйшөмбү күнү башталат, 9 сентябрында, - маалыматтык коопсуздук, компьютердик криминалистика жана инциденттерге жооп берүү жаатында уникалдуу билим алуу мүмкүнчүлүгүн колдон чыгарбаңыз! Курска катталуу бул жерде.

булактарМакаланы даярдоодо биз Олег Скулкиндин “Чалгындоо маалыматтарынын негизинде инцидентке ийгиликтүү жооп кайтаруу үчүн компромисстин индикаторлорун алуу үчүн хост-криминалистиканы колдонуу” презентациясын колдондук.

Source: www.habr.com