Algoritmi un taktika reaÄ£ÄÅ”anai uz informÄcijas droŔības incidentiem, paÅ”reizÄjo kiberuzbrukumu tendences, pieejas uzÅÄmumu datu noplÅ«des izmeklÄÅ”anai, pÄrlÅ«kprogrammu un mobilo ierÄ«Äu izpÄte, Å”ifrÄtu failu analÄ«ze, Ä£eogrÄfiskÄs atraÅ”anÄs vietas datu iegÅ«Å”ana un liela datu apjoma analÄ«ze - visas Ŕīs un citas tÄmas var apgÅ«t jaunos Group-IB un Belkasoft kopÄ«gajos kursos. AugustÄ mÄs
Divi Viss vienÄ
Ideja par kopÄ«gu apmÄcÄ«bu kursu rÄ«koÅ”anu radÄs pÄc tam, kad Group-IB kursa dalÄ«bnieki sÄka jautÄt par rÄ«ku, kas viÅiem palÄ«dzÄtu izmeklÄt kompromitÄtas datorsistÄmas un tÄ«klus, kÄ arÄ« apvienot dažÄdu bezmaksas utilÄ«tu funkcionalitÄti, ko mÄs iesakÄm izmantot reaÄ£ÄÅ”anas laikÄ.
MÅ«suprÄt, Å”Äds rÄ«ks varÄtu bÅ«t Belkasoft Evidence Center (par to jau runÄjÄm
SVARÄŖGI: kursi ir secÄ«gi un savstarpÄji saistÄ«ti! Belkasoft Digital Forensics ir veltÄ«ta programmai Belkasoft Evidence Center, un Belkasoft Incident Response Examination ir paredzÄta incidentu izmeklÄÅ”anai, izmantojot Belkasoft produktus. Tas nozÄ«mÄ, ka pirms Belkasoft Incident Response Examination kursa apguves mÄs ļoti iesakÄm pabeigt Belkasoft digitÄlÄs kriminÄlistikas kursu. Ja uzreiz sÄkat ar kursu par incidentu izmeklÄÅ”anu, studentam var bÅ«t kaitinoÅ”as zinÄÅ”anu nepilnÄ«bas Belkasoft pierÄdÄ«jumu centra izmantoÅ”anÄ, kriminÄlistikas artefaktu atraÅ”anÄ un pÄrbaudÄ. Tas var novest pie tÄ, ka apmÄcÄ«bu laikÄ Belkasoft Incident Response Examination kursÄ studentam vai nu nebÅ«s laika apgÅ«t materiÄlu, vai arÄ« viÅÅ” bremzÄs pÄrÄjo grupu jaunu zinÄÅ”anu apguvÄ, jo apmÄcÄ«bas laiks tiks pavadÄ«ts. pasniedzÄjs, skaidrojot Belkasoft digitÄlÄs kriminÄlistikas kursa materiÄlu.
Datoru kriminÄlistika ar Belkasoft pierÄdÄ«jumu centru
Kursa mÄrÄ·is Belkasoft digitÄlÄ kriminÄlistika ā iepazÄ«stinÄt studentus ar programmu Belkasoft Evidence Center, iemÄcÄ«t izmantot Å”o programmu, lai vÄktu pierÄdÄ«jumus no dažÄdiem avotiem (mÄkoÅkrÄtuve, brÄ«vpiekļuves atmiÅa (RAM), mobilÄs ierÄ«ces, datu nesÄji (cietie diski, zibatmiÅas diski utt.), meistars pamata kriminÄlistikas paÅÄmieni un paÅÄmieni, Windows artefaktu, mobilo ierÄ«Äu, RAM izgÄztuvju kriminÄlistikas ekspertÄ«zes metodes. JÅ«s arÄ« iemÄcÄ«sities identificÄt un dokumentÄt pÄrlÅ«kprogrammu un tÅ«lÄ«tÄjÄs ziÅojumapmaiÅas programmu artefaktus, izveidot kriminÄlistikas datu kopijas no dažÄdiem avotiem, iegÅ«t Ä£eogrÄfiskÄs atraÅ”anÄs vietas datus un meklÄt teksta sekvencÄm (meklÄjiet pÄc atslÄgvÄrdiem), izpÄtÄ izmantojiet jaucÄjvÄrdus, analizÄjiet Windows reÄ£istru, apgÅ«stiet nezinÄmu SQLite datu bÄzu izpÄtes iemaÅas, grafisko un video failu pÄrbaudes pamatus un izmeklÄÅ”anÄ izmantotÄs analÄ«tiskÄs metodes.
Kurss bÅ«s noderÄ«gs ekspertiem ar specializÄciju datortehniskÄs kriminÄlistikas (datoru kriminÄlistikas) jomÄ; tehniskie speciÄlisti, kas nosaka veiksmÄ«gas ielauÅ”anÄs iemeslus, analizÄ notikumu Ä·Ädi un kiberuzbrukumu sekas; tehniskie speciÄlisti, kas identificÄ un dokumentÄ iekÅ”ÄjÄs personas (iekÅ”ÄjÄ pÄrkÄpÄja) veikto datu zÄdzÄ«bu (noplÅ«di); e-Discovery speciÄlisti; SOC un CERT/CSIRT darbinieki; informÄcijas droŔības darbinieki; datoru kriminÄlistikas entuziasti.
Kursu plÄns:
- Belkasoft pierÄdÄ«jumu centrs (BEC): pirmie soļi
- Lietu veidoÅ”ana un apstrÄde BEC
- Apkopojiet digitÄlos pierÄdÄ«jumus kriminÄlistikas izmeklÄÅ”anai ar BEC
- Izmantojot filtrus
- PÄrskatu Ä£enerÄÅ”ana
- PÄtÄ«jums par tÅ«lÄ«tÄjÄs ziÅojumapmaiÅas programmÄm
- TÄ«mekļa pÄrlÅ«kprogrammas izpÄte
- Mobilo ierÄ«Äu izpÄte
- Ä¢eolokÄcijas datu iegÅ«Å”ana
- Teksta secÄ«bu meklÄÅ”ana gadÄ«jumos
- Datu iegÅ«Å”ana un analÄ«ze no mÄkoÅkrÄtuvÄm
- GrÄmatzÄ«mju izmantoÅ”ana, lai izceltu nozÄ«mÄ«gus pÄtÄ«jumu laikÄ atrastus pierÄdÄ«jumus
- Windows sistÄmas failu pÄrbaude
- Windows reģistra analīze
- SQLite datu bÄzu analÄ«ze
- Datu atkopŔanas metodes
- RAM izgÄztuvju pÄrbaudes metodes
- Hash kalkulatora un hash analÄ«zes izmantoÅ”ana tiesu ekspertÄ«zÄ
- Å ifrÄtu failu analÄ«ze
- Grafisko un video failu izpÄtes metodes
- AnalÄ«tisku metožu izmantoÅ”ana tiesu ekspertÄ«zÄ
- AutomatizÄjiet ikdienas darbÄ«bas, izmantojot iebÅ«vÄto Belkascripts programmÄÅ”anas valodu
- praktiskie vingrinÄjumi
Kurss: Belkasoft incidentu reaÄ£ÄÅ”anas pÄrbaude
Kursa mÄrÄ·is ir apgÅ«t kiberuzbrukumu kriminÄlistikas izmeklÄÅ”anas pamatus un Belkasoft pierÄdÄ«jumu centra izmantoÅ”anas iespÄjas izmeklÄÅ”anÄ. UzzinÄsiet par galvenajiem mÅ«sdienu uzbrukumu vektoriem datortÄ«kliem, iemÄcÄ«sities klasificÄt datoruzbrukumus, pamatojoties uz MITER ATT&CK matricu, pielietosiet operÄtÄjsistÄmu izpÄtes algoritmus, lai konstatÄtu kompromisa faktu un rekonstruÄsiet uzbrucÄju darbÄ«bas, uzzinÄsiet, kur atrodas artefakti, kas norÄdiet, kuri faili tika atvÄrti pÄdÄjo reizi , kur operÄtÄjsistÄma glabÄ informÄciju par to, kÄ tika lejupielÄdÄti un izpildÄ«ti izpildÄmie faili, kÄ uzbrucÄji pÄrvietojÄs tÄ«klÄ, un uzziniet, kÄ pÄrbaudÄ«t Å”os artefaktus, izmantojot BEC. JÅ«s arÄ« uzzinÄsit, kÄdi notikumi sistÄmas žurnÄlos ir interesanti no incidentu izmeklÄÅ”anas un attÄlÄs piekļuves noteikÅ”anas viedokļa, un uzzinÄsiet, kÄ tos izmeklÄt, izmantojot BEC.
Kurss noderÄs tehniskajiem speciÄlistiem, kuri nosaka veiksmÄ«gas ielauÅ”anÄs iemeslus, analizÄ notikumu Ä·Ädes un kiberuzbrukumu sekas; sistÄmas administratori; SOC un CERT/CSIRT darbinieki; informÄcijas droŔības darbinieki.
Kursa pÄrskats
KibernogalinÄÅ”anas Ä·Äde apraksta galvenos posmus jebkura tehniska uzbrukuma upura datoriem (vai datortÄ«klam) Å”Ädi:
SOC darbinieku rÄ«cÄ«ba (CERT, informÄcijas droŔība u.c.) ir vÄrsta uz to, lai neļautu iebrucÄjiem piekļūt aizsargÄtajiem informÄcijas resursiem.
Ja uzbrucÄji tomÄr iekļūst aizsargÄtajÄ infrastruktÅ«rÄ, tad minÄtajÄm personÄm jÄcenÅ”as samazinÄt uzbrucÄju darbÄ«bas radÄ«to kaitÄjumu, noteikt, kÄ uzbrukums tika veikts, rekonstruÄt uzbrucÄju notikumus un darbÄ«bu secÄ«bu apdraudÄtajÄ informÄcijas struktÅ«rÄ un veikt pasÄkumus, lai novÄrstu Å”Äda veida uzbrukumus nÄkotnÄ.
KompromitÄtÄ informÄcijas infrastruktÅ«rÄ var atrast Å”Ädu veidu pÄdas, kas norÄda, ka tÄ«kls (dators) ir apdraudÄts:
Visas Å”Ädas pÄdas var atrast, izmantojot programmu Belkasoft Evidence Center.
BEC ir āIncidentu izmeklÄÅ”anasā modulis, kurÄ, analizÄjot datu nesÄjus, tiek ievietota informÄcija par artefaktiem, kas var palÄ«dzÄt pÄtniekam incidentu izmeklÄÅ”anÄ.
BEC atbalsta galveno Windows artefaktu veidu pÄrbaudi, kas norÄda uz izpildÄmo failu izpildi pÄtÄmajÄ sistÄmÄ, tostarp Amcache, Userassist, Prefetch, BAM/DAM failus,
InformÄciju par trasÄm, kas satur informÄciju par lietotÄja darbÄ«bÄm apdraudÄtÄ sistÄmÄ, var parÄdÄ«t Å”ÄdÄ formÄ:
Å Ä« informÄcija, cita starpÄ, ietver informÄciju par izpildÄmo failu palaiÅ”anu:
InformÄcija par faila RDPWInst.exe palaiÅ”anu.
InformÄciju par uzbrucÄju klÄtbÅ«tni apdraudÄtajÄs sistÄmÄs var atrast Windows reÄ£istra startÄÅ”anas atslÄgÄs, pakalpojumos, ieplÄnotajos uzdevumos, pieteikÅ”anÄs skriptos, WMI utt. PiemÄri, kÄ noteikt informÄciju par sistÄmai pievienotajiem uzbrucÄjiem, ir redzami Å”Ädos ekrÄnuzÅÄmumos:
UzbrucÄju ierobežoÅ”ana, izmantojot uzdevumu plÄnotÄju, izveidojot uzdevumu, kas palaiž PowerShell skriptu.
UzbrucÄju apvienoÅ”ana, izmantojot Windows pÄrvaldÄ«bas instrumentu (WMI).
UzbrucÄju konsolidÄcija, izmantojot pieteikÅ”anÄs skriptu.
UzbrucÄju pÄrvietoÅ”anos pa apdraudÄtu datortÄ«klu var noteikt, piemÄram, analizÄjot Windows sistÄmas žurnÄlus (ja uzbrucÄji izmanto RDP pakalpojumu).
InformÄcija par konstatÄtajiem LAP savienojumiem.
InformÄcija par uzbrucÄju pÄrvietoÅ”anos tÄ«klÄ.
TÄdÄjÄdi Belkasoft pierÄdÄ«jumu centrs var palÄ«dzÄt pÄtniekiem identificÄt apdraudÄtos datorus uzbrukuma datortÄ«klÄ, atrast ļaunprÄtÄ«gas programmatÅ«ras palaiÅ”anas pÄdas, fiksÄcijas pÄdas sistÄmÄ un pÄrvietoÅ”anos tÄ«klÄ, kÄ arÄ« citas uzbrucÄju darbÄ«bas pÄdas apdraudÄtajos datoros.
KÄ veikt Å”Ädu izpÄti un atklÄt iepriekÅ” aprakstÄ«tos artefaktus, ir aprakstÄ«ts Belkasoft Incident Response Examination apmÄcÄ«bas kursÄ.
Kursu plÄns:
- Kiberuzbrukumu tendences. UzbrucÄju tehnoloÄ£ijas, rÄ«ki, mÄrÄ·i
- Drudu modeļu izmantoÅ”ana, lai izprastu uzbrucÄju taktiku, paÅÄmienus un procedÅ«ras
- KibernogalinÄÅ”anas Ä·Äde
- Incidentu reaÄ£ÄÅ”anas algoritms: identifikÄcija, lokalizÄcija, indikatoru Ä£enerÄÅ”ana, jaunu inficÄto mezglu meklÄÅ”ana
- Windows sistÄmu analÄ«ze, izmantojot BEC
- Ä»aunprÄtÄ«gas programmatÅ«ras primÄrÄs infekcijas, tÄ«kla izplatÄ«bas, konsolidÄcijas un tÄ«kla darbÄ«bas metožu noteikÅ”ana, izmantojot BEC
- IdentificÄjiet inficÄtÄs sistÄmas un atjaunojiet infekcijas vÄsturi, izmantojot BEC
- praktiskie vingrinÄjumi
FAQKur notiek kursi?
Kursi notiek Group-IB galvenajÄ mÄ«tnÄ vai ÄrÄjÄ vietÄ (apmÄcÄ«bu centrÄ). Trenerim ir iespÄja doties uz objektiem ar korporatÄ«vajiem klientiem.
Kas vada nodarbības?
Grupas IB pasniedzÄji ir praktiÄ·i ar daudzu gadu pieredzi kriminÄlistikas izpÄtÄ, korporatÄ«vajÄ izmeklÄÅ”anÄ un reaÄ£ÄÅ”anÄ uz informÄcijas droŔības incidentiem.
Treneru kvalifikÄciju apliecina daudzi starptautiski sertifikÄti: GCFA, MCFE, ACE, EnCE u.c.
MÅ«su pasniedzÄji viegli atrod kopÄ«gu valodu ar auditoriju, skaidri izskaidrojot pat vissarežģītÄkÄs tÄmas. Studenti uzzinÄs daudz aktuÄlas un interesantas informÄcijas par datoru incidentu izmeklÄÅ”anu, datoruzbrukumu identificÄÅ”anas un apkaroÅ”anas metodÄm, kÄ arÄ« iegÅ«s reÄlas praktiskas zinÄÅ”anas, kuras varÄs pielietot uzreiz pÄc studiju beigÅ”anas.
Vai kursi sniegs noderīgas prasmes, kas nav saistītas ar Belkasoft produktiem, vai arī Ŕīs prasmes nebūs pielietojamas bez Ŕīs programmatūras?
ApmÄcÄ«bÄs iegÅ«tÄs prasmes noderÄs, neizmantojot Belkasoft produktus.
Kas ir iekļauts sÄkotnÄjÄ pÄrbaudÄ?
PrimÄrÄ pÄrbaude ir datoru kriminÄlistikas pamatu zinÄÅ”anu pÄrbaude. ZinÄÅ”anas par Belkasoft un Group-IB produktiem nav plÄnots pÄrbaudÄ«t.
Kur var atrast informÄciju par uzÅÄmuma izglÄ«tÄ«bas kursiem?
IzglÄ«tojoÅ”o kursu ietvaros Group-IB apmÄca speciÄlistus incidentu reaÄ£ÄÅ”anÄ, ļaunprogrammatÅ«ras izpÄtÄ, kiberizlÅ«koÅ”anas speciÄlistus (Threat Intelligence), speciÄlistus darbam DroŔības operÄciju centrÄ (SOC), speciÄlistus proaktÄ«vÄs draudu medÄ«bÄs (Threat Hunter) u.c. . Ir pieejams pilns Group-IB patentÄto kursu saraksts
KÄdus bonusus saÅem studenti, kuri pabeidz Group-IB un Belkasoft kopÄ«gos kursus?
Tie, kas ir pabeiguÅ”i apmÄcÄ«bu kopÄ«gos kursos starp Group-IB un Belkasoft, saÅems:
- sertifikÄts par kursu beigÅ”anu;
- bezmaksas ikmÄneÅ”a Belkasoft pierÄdÄ«jumu centra abonements;
- 10% atlaide Belkasoft pierÄdÄ«jumu centra iegÄdei.
AtgÄdinÄm, ka pirmais kurss sÄkas pirmdien, 9 septembris, - nepalaid garÄm iespÄju iegÅ«t unikÄlas zinÄÅ”anas informÄcijas droŔības, datoru kriminÄlistikas un incidentu reaÄ£ÄÅ”anas jomÄ! ReÄ£istrÄcija kursam
avotiSagatavojot rakstu, mÄs izmantojÄm Oļega Skulkina prezentÄciju āUz resursdatora balstÄ«tas kriminÄlistikas izmantoÅ”ana, lai iegÅ«tu kompromisa rÄdÄ«tÄjus veiksmÄ«gai uz izlÅ«koÅ”anu balstÄ«tai incidentu reaÄ£ÄÅ”anaiā.
Avots: www.habr.com