Algorithms sy tetika amin'ny famaliana ireo trangan-javatra fiarovana ny fampahalalam-baovao, fironana amin'ny fanafihana an-tserasera amin'izao fotoana izao, fomba famotopotorana ny fivoahan'ny angon-drakitra ao amin'ny orinasa, fikarohana ireo navigateur sy fitaovana finday, famakafakana ireo rakitra miafina, fakana ny angon-drakitra momba ny geolocation sy fanadihadiana momba ny angon-drakitra be dia be - ireo rehetra ireo sy ny lohahevitra hafa dia azo ianarana amin'ny fampianarana iraisan'ny Group-IB sy Belkasoft. Amin'ny volana Aogositra isika ny fianarana voalohany Belkasoft Digital Forensics, izay manomboka amin'ny 9 septambra, ary nahazo fanontaniana marobe, dia nanapa-kevitra ny hiresaka amin'ny antsipiriany bebe kokoa momba ny zavatra hianaran'ny mpianatra, inona ny fahalalana, ny fahaiza-manao ary ny bonus (!) tonga amin'ny farany. Ny zavatra voalohany aloha.
Roa All in one
Nipoitra ny hevitra momba ny fitarihana fiofanana iraisana taorian'ny nanombohan'ireo mpandray anjara tamin'ny taranja Group-IB nanontany momba ny fitaovana iray izay hanampy azy ireo amin'ny fanadihadiana ireo rafitra sy tambajotra informatika mampandefitra, ary manambatra ny fiasan'ny fitaovana maimaim-poana isan-karazany izay soso-kevitray hampiasaina mandritra ny famaliana ny zava-nitranga.
Araka ny hevitray, ny fitaovana toy izany dia mety ho Belkasoft Evidence Center (efa niresaka momba izany izahay tao Igor Mikhailov "Ny fanalahidin'ny fanombohana: ny rindrambaiko sy fitaovana tsara indrindra ho an'ny informatika forensika"). Noho izany, izahay miaraka amin'i Belkasoft dia namolavola fampianarana roa: Belkasoft Digital Forensics ΠΈ Fandinihana ny valin'ny trangan-javatra Belkasoft.
ZAVA-DEHIBE: misesy sy mifamatotra ny fampianarana! Belkasoft Digital Forensics dia natokana ho an'ny programa Belkasoft Evidence Center, ary Belkasoft Incident Response Examination dia natokana ho amin'ny fanadihadiana ireo tranga mampiasa ny vokatra Belkasoft. Izany hoe, alohan'ny handinihana ny fampianarana momba ny fanadinana Belkasoft Incident Response Examination, dia manoro hevitra mafy izahay hamita ny fampianarana Belkasoft Digital Forensics. Raha manomboka avy hatrany amin'ny fampianarana momba ny fanadihadiana momba ny zava-nitranga ianao, dia mety manana fahabangana fahalalana manelingelina ny mpianatra amin'ny fampiasana ny Foiben'ny porofo Belkasoft, amin'ny fitadiavana sy fandinihana ireo artifact forensika. Izany dia mety hitarika ho amin'ny zava-misy fa mandritra ny fiofanana ao amin'ny Belkasoft Incident Valiny fanadinana taranja, ny mpianatra na tsy manam-potoana hifehy ny fitaovana, na hampiadana ny sisa amin'ny vondrona amin'ny fahazoana fahalalana vaovao, satria ny fotoana fiofanana dia ho lany. avy amin'ny mpanazatra manazava ny fitaovana avy amin'ny fampianarana Belkasoft Digital Forensics.
Fanadihadiana momba ny informatika miaraka amin'i Belkasoft Evidence Center
Tanjon'ny Mazava ho azy Belkasoft Digital Forensics - ampahafantaro ny mpianatra ny programa Belkasoft Evidence Center, ampianaro azy ireo hampiasa ity programa ity hanangonana porofo avy amin'ny loharano isan-karazany (fitehirizana rahona, fahatsiarovana fidirana an-tsokosoko (RAM), fitaovana finday, haino aman-jery fitahirizana (kapila mafy, flash drive, sns.), master teknika sy teknika forensika fototra, fomba fizahana forensika momba ny artifacts Windows, fitaovana finday, fanariam-RAM.Hianatra hamantatra sy handrakitra ny artifact an'ny navigateur sy ny programa fandefasana hafatra avy hatrany ianao, mamorona dika mitovy amin'ny angon-drakitra avy amin'ny loharano isan-karazany, manala ny angona geolocation ary mikaroka ho an'ny filaharan'ny lahatsoratra (fikarohana teny fototra), ampiasao ny hash rehefa manao fikarohana, mamakafaka ny rejisitra Windows, mahafehy ny fahaizana mikaroka angon-drakitra SQLite tsy fantatra, ny fototry ny fandinihana ireo rakitra sary sy horonan-tsary, ary teknika famakafakana ampiasaina mandritra ny fanadihadiana.
Ny taranja dia hahasoa ny manam-pahaizana manokana amin'ny sehatry ny informatika ara-teknika ara-teknika (informatika forensika); manam-pahaizana manokana ara-teknika izay mamaritra ny anton'ny firotsahana an-tsehatra mahomby, mamakafaka ny fizotry ny hetsika sy ny vokatry ny fanafihana an-tserasera; manampahaizana manokana ara-teknika mamantatra sy mirakitra ny fangalarana angon-drakitra (leaks) ataon'ny olona ao anatiny (mpanitsakitsaka anatiny); manampahaizana manokana momba ny e-Discovery; mpiasan'ny SOC sy CERT/CSIRT; mpiasa fiarovana ny fampahalalam-baovao; mpankafy informatika forensika.
Drafitra fampianarana:
- Belkasoft Evidence Center (BEC): dingana voalohany
- Famoronana sy fanodinana tranga ao amin'ny BEC
- Manangona porofo nomerika ho an'ny fanadihadiana forensika miaraka amin'ny BEC
- Mampiasa sivana
- Mamorona tatitra
- Fikarohana momba ny Fandaharana Fandefasana hafatra haingana
- Fikarohana Web Browser
- Fikarohana fitaovana finday
- Fanalana angona geolocation
- Mikaroka ny filaharan'ny lahatsoratra amin'ny tranga
- Fanalana sy famakafakana angona avy amin'ny fitahirizana rahona
- Mampiasa tsoratadidy hanasongadinana porofo manan-danja hita nandritra ny fikarohana
- Fandinihana ny rakitra rafitra Windows
- Windows Registry Analysis
- Famakafakana ny angona SQLite
- Data Recovery Methods
- Teknika amin'ny fandinihana ny fanariam-RAM
- Mampiasa kajy hash sy famakafakana hash amin'ny fikarohana forensika
- Famakafakana ny rakitra miafina
- Fomba hianarana ireo rakitra sary sy horonan-tsary
- Ny fampiasana teknika famakafakana amin'ny fikarohana forensika
- Manao ho azy ny hetsika mahazatra amin'ny fampiasana ny fiteny fandaharana Belkascripts naorina
- Lesona azo ampiharina
Course: Fandinihana ny valin'ny trangan-javatra Belkasoft
Ny tanjon'ny fampianarana dia ny hianatra ny fototry ny fanadihadiana ara-tsiansa momba ny fanafihana an-tserasera sy ny mety hampiasana ny Belkasoft Evidence Center amin'ny fanadihadiana. Hianatra momba ireo vesatra lehibe amin'ny fanafihana maoderina amin'ny tambajotra solosaina ianao, mianatra manasokajy ny fanafihana amin'ny ordinatera mifototra amin'ny matrix MITER ATT&CK, mampihatra ny algorithm fikarohana momba ny rafitra fandidiana mba hametrahana ny zava-misy amin'ny marimaritra iraisana sy hanorina indray ny fihetsiky ny mpanafika, hianatra ny toerana misy ny artifacts. manondro hoe iza no rakitra nosokafana farany , izay itahirizan'ny rafitra fandidiana ny fampahalalana momba ny fomba nangalana sy famonoana ireo rakitra azo tanterahana, ny fomba nifindran'ny mpanafika nanerana ny tambajotra, ary ny fianarana ny fomba fandinihana ireo artifacts ireo amin'ny fampiasana BEC. Hianatra ihany koa ianao hoe inona no zava-mitranga ao amin'ny diarin'ny rafitra mahaliana amin'ny fomba fijerin'ny fanadihadiana momba ny zava-nitranga sy ny fisavana fidirana lavitra, ary mianatra ny fomba fanadihadiana azy ireo amin'ny fampiasana BEC.
Ny fampianarana dia hahasoa ny manam-pahaizana manokana ara-teknika izay mamaritra ny anton'ny fitsabahana mahomby, ny famakafakana ireo rojom-pisehoana sy ny vokatry ny fanafihana an-tserasera; mpitantana ny rafitra; mpiasan'ny SOC sy CERT/CSIRT; mpiasan'ny fiarovana ny vaovao.
Overview Course
Cyber ββββKill Chain dia mamaritra ny dingana lehibe amin'ny fanafihana ara-teknika rehetra amin'ny solosain'ny niharam-boina (na tambazotran'ny solosaina) toy izao manaraka izao:
Ny hetsika ataon'ny mpiasan'ny SOC (CERT, fiarovana ny fampahalalam-baovao, sns.) dia mikendry ny hisakanana ireo mpiditra an-keriny tsy hiditra amin'ny loharanom-baovao voaaro.
Raha toa ka tafiditra ao anatin'ny fotodrafitrasa arovana ny mpanafika, dia tokony hiezaka hanamaivana ny fahasimbana avy amin'ny asan'ny mpanafika ireo mpanafika, hamantatra ny fomba nanaovana ny fanafihana, hanorina indray ny zava-nitranga sy ny filaharan'ny hetsika nataon'ireo mpanafika tao amin'ny rafitry ny fampahalalam-baovao voatohintohina, ary handray izany. fepetra hisorohana izany karazana fanafihana izany amin'ny ho avy.
Ireto karazana soritra manaraka ireto dia azo jerena ao amin'ny fotodrafitrasa momba ny fampahalalam-baovao voatohintohina, izay manondro fa ny tambajotra (solosaina) dia simba:
Ireo soritra rehetra ireo dia azo jerena amin'ny alΓ lan'ny programa Belkasoft Evidence Center.
Ny BEC dia manana mody "Famotopotorana tranga", izay, rehefa mamakafaka ny haino aman-jery fitahirizana, dia apetraka ny fampahalalana momba ny artifacts izay afaka manampy ny mpikaroka rehefa manadihady tranga.
Ny BEC dia manohana ny fandinihana ireo karazana artifacts Windows lehibe indrindra izay manondro ny fanatanterahana ny rakitra azo tanterahana amin'ny rafitra anaovana fanadihadiana, ao anatin'izany ny rakitra Amcache, Userassist, Prefetch, BAM/DAM, ,famakafakana ny hetsika rafitra.
Ny fampahalalana momba ny dian misy fampahalalana momba ny hetsika ataon'ny mpampiasa amin'ny rafitra simba dia azo aseho amin'ny endrika manaraka:
Ity fampahalalana ity, ankoatry ny zavatra hafa, dia ahitana fampahalalana momba ny fampandehanana rakitra azo tanterahana:
Fampahalalana momba ny fampandehanana ny rakitra 'RDPWInst.exe'.
Ny fampahalalana momba ny fisian'ny mpanafika amin'ny rafitra simba dia azo jerena ao amin'ny fanalahidin'ny fanombohana rejisitra Windows, serivisy, asa voalahatra, script Logon, WMI, sns. Ohatra amin'ny fitadiavana fampahalalana momba ireo mpanafika miraikitra amin'ny rafitra dia azo jerena amin'ireto pikantsary manaraka ireto:
Manery ny mpanafika amin'ny fampiasana ny fandaharam-potoana amin'ny alΓ lan'ny famoronana asa izay mitondra script PowerShell.
Fanamafisana ireo mpanafika mampiasa Windows Management Instrumentation (WMI).
Fanamafisana ireo mpanafika mampiasa script Logon.
Ny fihetsehan'ny mpanafika manerana ny tambajotran'ny solosaina simba dia azo fantarina, ohatra, amin'ny famakafakana ny diarin'ny rafitra Windows (raha mampiasa ny serivisy RDP ny mpanafika).
Fampahafantarana momba ny fifandraisana RDP hita.
Fampahafantarana momba ny fihetsik'ireo mpanafika manerana ny tambajotra.
Noho izany, ny Belkasoft Evidence Center dia afaka manampy ireo mpikaroka hamantatra ireo solosaina simba ao amin'ny tambajotran'ny solosaina voatafika, mahita soritra ny fanombohan'ny malware, soritry ny famahana ny rafitra sy ny hetsika manerana ny tambajotra, ary ireo soritra hafa amin'ny asan'ny mpanafika amin'ny solosaina simba.
Ny fomba hanaovana fikarohana toy izany sy hamantarana ireo artifact voalaza etsy ambony dia voalaza ao amin'ny fampianarana fanofanana momba ny fanadinana Belkasoft Incident Response Examination.
Drafitra fampianarana:
- Fironan'ny Cyberattack. Teknolojia, fitaovana, tanjon'ny mpanafika
- Mampiasa modely fandrahonana mba hahatakarana ny tetika, teknika ary fomba fiasa
- Cyber ββββkill chain
- Algorithm valin'ny zava-nitranga: famantarana, localization, famoronana tondro, fikarohana nodes vaovao voan'ny aretina
- Famakafakana ny rafitra Windows mampiasa BEC
- Famantarana ny fomba fifindran'ny otrikaretina voalohany, ny fiparitahan'ny tambajotra, ny fanamafisana ary ny asan'ny malware mampiasa BEC
- Fantaro ireo rafitra voan'ny aretina ary avereno amin'ny laoniny ny tantaran'ny aretina amin'ny fampiasana BEC
- Lesona azo ampiharina
FAQAiza no misy ny cours?
Ny fianarana dia atao ao amin'ny foiben'ny Group-IB na any amin'ny toerana ivelany (foibe fanofanana). Azon'ny mpampiofana mandeha mankany amin'ny toerana misy mpanjifa orinasa.
Iza no mitarika ny kilasy?
Ny mpampiofana ao amin'ny Group-IB dia mpitsabo manana traikefa an-taonany maro amin'ny fanaovana fikarohana forensika, fanadihadiana momba ny orinasa ary famaliana ireo tranga momba ny fiarovana ny vaovao.
Ny fepetran'ny mpampiofana dia nohamafisin'ny fanamarinana iraisam-pirenena maro: GCFA, MCFE, ACE, EnCE, sns.
Mora mahita fiteny iraisana amin'ny mpihaino ny mpampiofanay, manazava mazava tsara na dia ny lohahevitra sarotra indrindra aza. Hianatra fampahalalana manan-danja sy mahaliana maro momba ny fanadihadiana momba ny trangan-javatra amin'ny ordinatera ny mpianatra, ny fomba hamantarana sy hanoherana ny fanafihana amin'ny ordinatera, ary hahazo fahalalana azo ampiharina izay azony ampiharina avy hatrany aorian'ny fizarana diplaoma.
Hanome fahaiza-manao mahasoa tsy mifandraika amin'ny vokatra Belkasoft ve ireo fampianarana ireo, sa tsy azo ampiharina ireo fahaiza-manao ireo raha tsy misy ity rindrambaiko ity?
Ny fahaiza-manao azo nandritra ny fiofanana dia ho ilaina raha tsy mampiasa ny vokatra Belkasoft.
Inona no tafiditra amin'ny fitsapana voalohany?
Ny fitsapana voalohany dia fitsapana ny fahalalana ny fototry ny informatika forensika. Tsy misy drafitra hitsapana fahalalana momba ny vokatra Belkasoft sy Group-IB.
Aiza no ahitako fampahalalana momba ny fampianarana momba ny fampianarana an'ny orinasa?
Ao anatin'ny taranja fanabeazana, ny Group-IB dia manofana manam-pahaizana manokana amin'ny valin'ny tranga, fikarohana malware, manam-pahaizana momba ny fitsikilovana cyber (Threat Intelligence), manam-pahaizana manokana hiasa ao amin'ny Security Operation Center (SOC), manam-pahaizana manokana amin'ny fihazana fandrahonana mavitrika (Threat Hunter), sns. . Misy lisitra feno amin'ny fampianarana manokana avy amin'ny Group-IB .
Inona avy ireo tombony azon'ireo mpianatra mamita ny fampianarana iraisan'ny Group-IB sy Belkasoft?
Ireo izay nahavita fiofanana tamin'ny taranja iraisan'ny Group-IB sy Belkasoft dia hahazo:
- taratasy fanamarinana ny fahavitan'ny fianarana;
- famandrihana maimaim-poana isam-bolana amin'ny Belkasoft Evidence Center;
- fihenam-bidy 10% amin'ny fividianana Belkasoft Evidence Center.
Mampahatsiahy anao izahay fa manomboka ny alatsinainy ny fampianarana voalohany, 9 septembre, - aza adino ny fahafahana hahazo fahalalana miavaka eo amin'ny sehatry ny fiarovana ny vaovao, solosaina forensika sy ny valin'ny zava-nitranga! Fisoratana anarana ho an'ny taranja .
loharanom-baovaoTeo am-panomanana ny lahatsoratra dia nampiasa ny famelabelarana nataon'i Oleg Skulkin izahay "Mampiasa ny forensika mifototra amin'ny mpampiantrano mba hahazoana mari-pankasitrahana amin'ny valin-kafatra mahomby amin'ny zava-mitranga."
Source: www.habr.com