ProHoster > Blog > Internet Neiegkeeten > Group-IB a Belkasoft gemeinsame Coursen: wat mir léieren a wien wäert matmaachen

Group-IB a Belkasoft gemeinsame Coursen: wat mir léieren a wien wäert matmaachen

Group-IB a Belkasoft gemeinsame Coursen: wat mir léieren a wien wäert matmaachen
Algorithmen an Taktike fir z'äntwerten op Informatiounssécherheetsvirfäll, Trends an aktuellen Cyberattacken, Approche fir d'Untersuchung vun Datenlecken an Firmen, Fuerschung vu Browser a mobilen Apparater, Analyse vun verschlësselte Dateien, Extrait vun Geolocatiounsdaten an Analyse vu grousse Volumen vun Daten - all dës an aner Themen kann op nei gemeinsame Coursen vu Group-IB a Belkasoft studéiert ginn. Am August hu mir ugekënnegt den éischte Belkasoft Digital Forensics Cours, deen den 9. September ufänkt, a mir hunn eng grouss Zuel vu Froen kritt, hu mir beschloss méi detailléiert ze schwätzen iwwer wat d'Studenten studéieren, wat fir Wëssen, Kompetenzen a Bonus (!) um Enn kommen. Éischt Saachen éischt.

Zwee Alles an engem

D'Iddi fir gemeinsame Trainingscoursen ze halen ass erschéngt nodeems d'Participanten vun de Group-IB Coursen ugefaang hunn iwwer en Tool ze froen dat hinnen hëllefe bei der Enquête vu kompromittéierte Computersystemer an Netzwierker, an d'Funktionalitéit vu verschiddene gratis Utilities kombinéieren, déi mir recommandéieren während der Tëschefallreaktioun ze benotzen.

An eiser Meenung no kéint esou en Tool Belkasoft Evidence Center sinn (mir hu scho geschwat an Artikel Igor Mikhailov "Schlëssel zum Start: déi bescht Software an Hardware fir Computer Forensik"). Dofir hu mir zesumme mam Belkasoft zwee Trainingscoursen entwéckelt: Belkasoft Digital Forensics и Belkasoft Incident Response Examen.

WICHTEG: d'Course si sequentiell a matenee verbonnen! Belkasoft Digital Forensics ass dem Belkasoft Evidence Center Programm gewidmet, a Belkasoft Incident Response Examination ass gewidmet fir Tëschefäll z'ënnersichen mat Belkasoft Produkter. Dat ass, ier Dir de Belkasoft Incident Response Examination Cours studéiert, empfeelen mir staark de Belkasoft Digital Forensics Cours ofzeschléissen. Wann Dir direkt mat engem Cours iwwer Tëschefalluntersuchungen ufänkt, kann de Student lästeg Wëssenslücken hunn am Belkasoft Evidence Center ze benotzen, forensesch Artefakte ze fannen an z'ënnersichen. Dëst kann zu der Tatsaach féieren datt während Training am Belkasoft Incident Response Examination Cours de Student entweder keng Zäit huet fir d'Material ze beherrschen, oder de Rescht vum Grupp verlangsamt fir neit Wëssen ze kréien, well d'Trainingszäit gëtt verbruecht. vum Trainer erkläert d'Material vum Belkasoft Digital Forensics Cours.

Computer Forensik mat Belkasoft Evidence Center

Zweck vum Cours Belkasoft Digital Forensics - stellt d'Schüler de Belkasoft Evidence Center Programm vir, léiert se dëse Programm ze benotzen fir Beweiser aus verschiddene Quellen ze sammelen (Cloudlagerung, Random Access Memory (RAM), mobilen Apparater, Späichermedien (Harddisken, Flash Drive, etc.), Master Basis forensesch Techniken an Techniken, Methode vun der forensescher Untersuchung vu Windows Artefakte, mobilen Apparater, RAM Dumps.Dir léiert och Artefakte vu Browser an Instant Messaging Programmer z'identifizéieren an ze dokumentéieren, forensesch Kopien vun Daten aus verschiddene Quellen erstellen, Geolocatiounsdaten extrahéieren a sichen. fir Textsequenzen (Sich no Schlësselwieder), benotzt Hashes wann Dir Fuerschung maacht, analyséiert de Windows Registry, beherrscht d'Fäegkeeten fir onbekannt SQLite Datenbanken z'erklären, d'Basis fir d'Grafik- a Videodateien z'ënnersichen, an analytesch Techniken déi während Ermëttlungen benotzt ginn.

De Cours wäert nëtzlech sinn fir Experten mat Spezialisatioun am Beräich vun der Computertechnescher Forensik (Computer Forensik); technesch Spezialisten déi d'Grënn fir eng erfollegräich Andréngen bestëmmen, d'Kette vun Eventer an d'Konsequenze vun Cyberattacken analyséieren; technesch Spezialisten identifizéieren an dokumentéieren Dateverletzung (Leck) vun engem Insider (intern Verstouss); E-Discovery Spezialisten; SOC an CERT / CSIRT Personal; Informatiounen Sécherheet Mataarbechter; Computer Forensik Begeeschterten.

Course Plang:

  • Belkasoft Evidence Center (BEC): éischt Schrëtt
  • Kreatioun a Veraarbechtung vu Fäll am BEC
  • Sammelt digitale Beweiser fir forensesch Ermëttlungen mat BEC

Group-IB a Belkasoft gemeinsame Coursen: wat mir léieren a wien wäert matmaachen

  • Benotzt Filteren
  • Berichterstattung
  • Fuerschung iwwer Instant Messaging Programmer

Group-IB a Belkasoft gemeinsame Coursen: wat mir léieren a wien wäert matmaachen

  • Web Browser Fuerschung

Group-IB a Belkasoft gemeinsame Coursen: wat mir léieren a wien wäert matmaachen

  • Mobile Apparat Fuerschung
  • Geolocatiounsdaten extrahéieren

Group-IB a Belkasoft gemeinsame Coursen: wat mir léieren a wien wäert matmaachen

  • Sich no Textsequenzen a Fäll
  • Daten aus Cloud Storage extrahéieren an analyséieren
  • Lieszeeche benotze fir bedeitend Beweiser ze markéieren déi während der Fuerschung fonnt goufen
  • Ënnersichung vu Windows Systemdateien

Group-IB a Belkasoft gemeinsame Coursen: wat mir léieren a wien wäert matmaachen

  • Windows Registry Analyse
  • Analyse vun SQLite Datenbanken

Group-IB a Belkasoft gemeinsame Coursen: wat mir léieren a wien wäert matmaachen

  • Daten Erhuelung Methoden
  • Techniken fir RAM Dumps z'ënnersichen
  • Benotzt Hash Rechner an Hash Analyse an der forensescher Fuerschung
  • Analyse vun verschlësselte Fichieren
  • Methoden fir Grafik- a Videodateien ze studéieren
  • D'Benotzung vun analyteschen Techniken an der forensescher Fuerschung
  • Automatiséiert Routineaktiounen mat der agebauter Belkascripts Programméierungssprooch

Group-IB a Belkasoft gemeinsame Coursen: wat mir léieren a wien wäert matmaachen

  • Praktesch Übungen

Kurs: Belkasoft Incident Response Examen

Den Zweck vum Cours ass d'Grondlage vun der forensescher Untersuchung vu Cyberattacken ze léieren an d'Méiglechkeete fir de Belkasoft Evidence Center an enger Enquête ze benotzen. Dir léiert iwwer d'Haaptvektore vu modernen Attacken op Computernetzwierker, léiert Computerattacken op Basis vun der MITER ATT&CK Matrix klassifizéieren, Betribssystem Fuerschung Algorithmen uwenden fir de Fakt vu Kompromëss z'etabléieren an d'Aktiounen vun Ugräifer ze rekonstruéieren, léiere wou Artefakte lokaliséiert sinn uginn wéi eng Dateie fir d'lescht opgemaach goufen, wou de Betribssystem Informatioun späichert iwwer wéi ausführbar Dateie gelueden an ausgefouert goufen, wéi Ugräifer iwwer d'Netz geplënnert sinn, a léiert wéi een dës Artefakte mat BEC ënnersicht. Dir léiert och wéi eng Eventer an de Systemprotokoller interessant sinn aus der Siicht vun der Tëschefall Enquête a Remote Zougang Detektioun, a léiert wéi een se mat BEC ënnersicht.

De Cours wäert nëtzlech sinn fir technesch Spezialisten, déi d'Grënn fir eng erfollegräich Intrusioun bestëmmen, Ketten vun Eventer an d'Konsequenze vun Cyberattacken analyséieren; System Administrateuren; SOC an CERT / CSIRT Personal; Informatiounen Sécherheet Personal.

Course Iwwersiicht

Cyber ​​​​Kill Chain beschreift d'Haaptstadien vun all techneschen Attack op de Computer vum Affer (oder Computernetz) wéi follegt:
Group-IB a Belkasoft gemeinsame Coursen: wat mir léieren a wien wäert matmaachen
D'Aktiounen vun den SOC Mataarbechter (CERT, Informatiounssécherheet, asw.) zielen dozou ze verhënneren datt Intruder Zougang zu geschützte Informatiounsressourcen kréien.

Wann Ugräifer déi geschützt Infrastruktur penetréieren, da sollten déi uewe genannte Leit probéieren de Schued vun den Ugräifer Aktivitéiten ze minimiséieren, bestëmmen wéi den Attack duerchgefouert gouf, d'Evenementer an d'Sequenz vun den Aktiounen vun den Ugräifer an der kompromittéierter Informatiounsstruktur rekonstruéieren an huelen Moossname fir dës Zort Attack an Zukunft ze verhënneren.

Déi folgend Zorte vu Spure kënnen an enger kompromittéierter Informatiounsinfrastruktur fonnt ginn, wat beweist datt de Reseau (Computer) kompromittéiert ass:

Group-IB a Belkasoft gemeinsame Coursen: wat mir léieren a wien wäert matmaachen
All esou Spure kënne mam Belkasoft Evidence Center Programm fonnt ginn.

BEC huet en "Incident Investigation" Modul, wou, wann d'Späichermedien analyséiert ginn, Informatioun iwwer Artefakte plazéiert gëtt, déi de Fuerscher bei der Untersuchung vun Tëschefäll hëllefe kënnen.

Group-IB a Belkasoft gemeinsame Coursen: wat mir léieren a wien wäert matmaachen
BEC ënnerstëtzt d'Untersuchung vun den Haaptarten vu Windows Artefakte, déi d'Ausféierung vun ausführbare Dateien um System ënner Untersuchung uginn, dorënner Amcache, Userassist, Prefetch, BAM/DAM Dateien, Windows 10 Timeline, Analyse vu Systemevenementer.

Informatioun iwwer Spure mat Informatioun iwwer Benotzeraktiounen an engem kompromittéierte System kann an der folgender Form presentéiert ginn:

Group-IB a Belkasoft gemeinsame Coursen: wat mir léieren a wien wäert matmaachen
Dës Informatioun enthält ënner anerem Informatioun iwwer ausféierbar Dateien:

Group-IB a Belkasoft gemeinsame Coursen: wat mir léieren a wien wäert matmaachenInformatioun iwwer d'Lafen vun der Datei 'RDPWInst.exe'.

Informatioun iwwer d'Präsenz vun den Ugräifer a kompromittéierte Systemer kann a Windows Registry Startup Schlësselen, Servicer, geplangte Aufgaben, Logon Scripten, WMI, etc. Beispiller fir Informatioun z'entdecken iwwer Ugräifer, déi mam System verbonne sinn, kënnen an de folgende Screenshots gesi ginn:

Group-IB a Belkasoft gemeinsame Coursen: wat mir léieren a wien wäert matmaachenBeschränken Ugräifer déi den Task Scheduler benotzen andeems Dir eng Aufgab erstellt déi e PowerShell Skript leeft.

Group-IB a Belkasoft gemeinsame Coursen: wat mir léieren a wien wäert matmaachenKonsolidéiere vun Ugräifer mat Windows Management Instrumentation (WMI).

Group-IB a Belkasoft gemeinsame Coursen: wat mir léieren a wien wäert matmaachenKonsolidéiere vun Ugräifer mam Logon Skript.

D'Bewegung vun Ugräifer iwwer e kompromittéiert Computernetzwierk kann zum Beispill erkannt ginn andeems Dir Windows System Logbicher analyséiert (wann d'Ugräifer den RDP Service benotzen).

Group-IB a Belkasoft gemeinsame Coursen: wat mir léieren a wien wäert matmaachenInformatioun iwwer entdeckt RDP Verbindungen.

Group-IB a Belkasoft gemeinsame Coursen: wat mir léieren a wien wäert matmaachenInformatioun iwwer d'Bewegung vun Ugräifer am Netz.

Sou kann de Belkasoft Evidence Center d'Fuerscher hëllefen, kompromittéiert Computeren an engem attackéierte Computernetz ze identifizéieren, Spure vum Start vu Malware ze fannen, Spure vun der Fixatioun am System a Bewegung iwwer d'Netzwierk, an aner Spure vun Ugräifer Aktivitéit op kompromittéiert Computeren.

Wéi Dir esou Fuerschung ausféiert an d'Artefakte festgestallt, déi uewe beschriwwen hunn, gëtt am Belkasoft Incident Response Examination Training Cours beschriwwen.

Course Plang:

  • Trends vun Cyberattacken. Technologien, Tools, Ziler vun Ugräifer
  • Benotzt Bedrohungsmodeller fir Ugräifer Taktiken, Techniken a Prozeduren ze verstoen
  • Cyber ​​​​kill Kette
  • Tëschefall Äntwert Algorithmus: Identifikatioun, Lokalisatioun, Generatioun vun Indikatoren, Sich no neien infizéierte Wirbelen
  • Analyse vu Windows Systemer mat BEC
  • Detektioun vu Methoden fir primär Infektioun, Netzwierkverbreedung, Konsolidéierung an Netzwierkaktivitéit vu Malware mat BEC
  • Identifizéiert infizéiert Systemer a restauréiert d'Infektiounsgeschicht mat BEC
  • Praktesch Übungen

FAQWou ginn d'Coursen ofgehalen?
D'Course ginn am Group-IB Sëtz oder op engem externen Site (Formatiounszentrum) duerchgefouert. Et ass méiglech fir en Trainer op Siten mat Firmeclienten ze reesen.

Wien féiert d'Coursen?
Trainere bei Group-IB sinn Praktiker mat ville Joeren Erfarung an der Ausféierung vun forensescher Fuerschung, Firmenuntersuchungen an Äntwert op Informatiounssécherheetsfäll.

D'Qualifikatioune vun den Trainere ginn duerch vill international Certificaten bestätegt: GCFA, MCFE, ACE, EnCE, etc.

Eis Trainere fannen einfach eng gemeinsam Sprooch mam Publikum, kloer erkläert och déi komplexst Themen. D'Studente léiere vill relevant an interessant Informatioun iwwer d'Untersuchung vun Computer-Tëschefäll, Methoden fir Computerattacken z'identifizéieren an ze bekämpfen, a kréien echt praktescht Wëssen, dat se direkt nom Ofschloss kënne uwenden.

Wäerten d'Coursen nëtzlech Fäegkeeten ubidden, déi net mat Belkasoft Produkter verbonne sinn, oder wäerten dës Fäegkeeten ouni dës Software onapplicabel sinn?
D'Kompetenzen, déi während dem Training erliewt ginn, wäerten nëtzlech sinn ouni Belkasoft Produkter ze benotzen.

Wat ass am initialen Test abegraff?

Primär Tester ass en Test vu Wëssen iwwer d'Basis vun der Computerforensik. Et gi keng Pläng fir Wëssen iwwer Belkasoft a Group-IB Produkter ze testen.

Wou kann ech Informatiounen iwwer d'Educatiounscoursen vun der Firma fannen?

Als Deel vun edukativen Coursen trainéiert Group-IB Spezialisten an Tëschefäll Äntwert, Malware Fuerschung, Cyber ​​​​Intelligenz Spezialisten (Threat Intelligence), Spezialisten fir am Security Operation Center (SOC) ze schaffen, Spezialisten an der proaktiver Bedrohungsjagd (Threat Hunter), etc. . Eng komplett Lëscht vu propriétaire Coursen vu Group-IB ass verfügbar hei.

Wéi eng Bonus kréien Studenten déi gemeinsame Coursen tëscht Group-IB a Belkasoft ofgeschloss hunn?
Déi, déi Training a gemeinsame Coursen tëscht Group-IB a Belkasoft ofgeschloss hunn, kréien:

  1. Certificat vum Ofschloss vum Cours;
  2. gratis monatlecht Abonnement op Belkasoft Evidence Center;
  3. 10% Remise op de Kaf vun Belkasoft Evidence Center.

Mir erënneren Iech drun datt den éischte Cours e Méindeg ufänkt, 9 September, - Verpasst net d'Geleeënheet eenzegaarteg Wëssen am Beräich vun Informatiounssécherheet, Computer Forensik an Tëschefall Äntwert ze kréien! Aschreiwung fir de Cours hei.

Quellen vun InformatiounenBei der Virbereedung vum Artikel hu mir d'Presentatioun vum Oleg Skulkin benotzt "Gebrauch vun Host-baséiert Forensik fir Indikatoren vu Kompromëss fir erfollegräich Intelligenz-Undriff Äntwert ze kréien."

Source: will.com

Setzt e Commentaire