Ko nga akoranga a te Rōpū-IB me Belkasoft: he aha ta matou e whakaako, ko wai ka haere

Nga taurangi me nga tikanga mo te urupare ki nga maiki haumarutanga korero, nga ahuatanga o nga whakaeke ipurangi o naianei, nga huarahi ki te tirotiro i nga rerenga raraunga i roto i nga kamupene, te rangahau i nga kaitirotiro me nga taputapu pūkoro, te tātari i nga konae whakamunatia, te tango i nga raraunga geolocation me nga tātaritanga o nga pukapuka raraunga nui - ka taea e enei kaupapa katoa me era atu kaupapa. kia akohia mo nga akoranga hono hou o Group-IB me Belkasoft. I Akuhata matou i panuihia Ko te akoranga tuatahi a Belkasoft Digital Forensics, ka timata i te 9 o Hepetema, a, i te maha o nga paatai, ka whakatauhia e maatau ki te korero atu i nga mea ka akohia e nga akonga, he aha nga matauranga, nga pukenga me nga putea (!) ko wai ka tae ki te mutunga. Mo nga mea katoa kia raupapa.

E rua katoa i roto i te kotahi

Ko te whakaaro ki te pupuri i nga akoranga whakangungu tahi i puta mai i muri i te tiimata o nga kaiuru o nga akoranga Roopu-IB ki te patai mo tetahi taputapu hei awhina i a raatau ki te tirotiro i nga punaha rorohiko me nga whatunga kua taupatupatuhia, me te whakakotahi i nga mahi o nga momo taputapu kore utu e taunaki ana matou. whakamahi i te wa whakautu maiki.

Ki ta matou whakaaro, ko te Belkasoft Evidence Center he taputapu penei (kua korerohia e matou i roto Tuhinga Igor Mikhailov "Kī ki te tīmata: te pūmanawa pai me te pūmārō mō te rorohiko forensics"). Na reira, kua whakawhanakehia e matou, me Belkasoft, e rua nga akoranga whakangungu: Belkasoft Digital Forensics и Belkasoft Tuhinga Whakautu Whakahoki.

HE WHAKANUI: he raupapa, he hono nga akoranga! Ko Belkasoft Digital Forensics kua whakatapua ki te kaupapa Belkasoft Evidence Center, a ko Belkasoft Incident Response Examination kua whakatapua ki te tirotiro mai i nga aitua ma te whakamahi i nga hua Belkasoft. Arā, i mua i te ako i te akoranga Belkasoft Incident Response Examination, e tino taunaki ana matou kia whakaotia e koe te akoranga Belkasoft Digital Forensics. Mena ka timata tonu koe ki te akoranga rangahau maiki, he aputa matauranga hoha te akonga ki te whakamahi i te Belkasoft Evidence Center, ki te rapu me te rangahau i nga taonga toi. Ka taea e tenei te arahi ki te meka i te wa o te akoranga Belkasoft Incident Response Examination, kaore te akonga e whai wa ki te mohio ki nga rauemi, ka whakaroa ranei te toenga o te roopu ki te whiwhi matauranga hou, na te mea ka pau te wa whakangungu e te kaiwhakangungu e whakamarama ana i nga mea mai i te akoranga Belkasoft Digital Forensics.

Rorohiko mo te tirotiro me te Belkasoft Evidence Center

Te kaupapa o te akoranga Belkasoft Digital Forensics — ki te whakamohio i nga akonga ki te kaupapa Belkasoft Evidence Center, whakaakona ratou me pehea te whakamahi i tenei kaupapa ki te kohi taunakitanga mai i nga momo puna (pupuhi kapua, mahara urunga matapōkere (RAM), taputapu pūkoro, papaa rokiroki (puku pakeke, puku kohiko, etc.) , kia mohio koe ki nga tikanga me nga tikanga mo te tirotiro, nga tikanga mo te tirotiro mo nga taonga toi a Windows, nga taputapu pūkoro, nga putunga mahara Ka ako ano koe me pehea te tautuhi me te tuhi i te kaitirotiro me nga taonga tuku karere inamata, te hanga kape o nga raraunga mai i nga momo puna, te tango i nga raraunga geolocation me te rapu. mo nga raupapa kuputuhi (rapu ma nga kupumatua), whakamahi i nga tohu i roto i te rangahau, te wetewete i te rehitatanga Windows, te ako i nga pukenga o te rangahau i nga papaunga raraunga SQLite e kore e mohiotia, nga kaupapa o te rangahau i nga konae whakairoiro me te ataata, me nga tikanga tātari i whakamahia i roto i nga mahi tirotiro.

Ka whai hua te akoranga mo nga tohunga whai tohungatanga ki nga tohungatanga rorohiko-hangarau (te tohungatanga rorohiko); nga tohunga hangarau e whakatau ana i nga take mo te urunga angitu, ka tātari i te mekameka o nga huihuinga me nga hua o nga whakaeke ipurangi; tohunga hangarau e tohu ana, e tuhi ana i te tahae raraunga (te turuturu) a te tangata o roto (te tangata hara o roto); Nga tohunga e-Discovery; Nga kaimahi SOC me CERT/CSIRT; nga apiha haumaru korero; he hunga kaingākau ki nga mahi tirotiro rorohiko.

Mahere akoranga:

• Belkasoft Evidence Center (BEC): nga taahiraa tuatahi
• Te hanga me te tukatuka i nga keehi i BEC
• Kohikohi Whakaaturanga Mamati i roto i te Tirohanga Tirohanga me te BEC

• Te whakamahi i nga whiriwhiringa
• Pūrongo
• Te torotoro i nga Papatono Karere Inamata

• Rangahau Pūtirotiro Tukutuku

• Rangahau Pukoro
• Te tango raraunga geolocation

• Rapua nga raupapa kuputuhi i roto i nga keehi
• Te tangohanga raraunga me te tātari mai i nga rokiroki kapua
• Te whakamahi i nga tohu tohu hei whakaatu i nga taunakitanga nui i kitea i te waa rangahau
• Te tirotiro i nga konae punaha Windows

• tātari rēhita Windows
• Te tātari pātengi raraunga SQLite

• Nga Tikanga Whakaora Raraunga
• Nga tikanga mo te tirotiro i nga putunga RAM
• Te whakamahi i te taitaenga hash me te tātari hash i roto i nga rangahau mo te tuukino
• Te tātari i nga konae whakamunatia
• Nga tikanga mo te rangahau i nga konae whakairoiro me nga konae ataata
• Te whakamahi i nga tikanga tātari i roto i te rangahau mo te mate
• Te whakaaunoatanga o nga mahi o ia ra ma te whakamahi i te Belkascripts reo hanga-i roto

• Akoranga mahi

Akoranga: Belkasoft Incident Response Examination

Ko te kaupapa o te akoranga ko te ako i nga tikanga o te tirotiro tirotiro mo nga whakaeke ipurangi me nga huarahi ki te whakamahi i te Belkasoft Evidence Center i roto i te tirotiro. Ka ako koe mo nga tohu matua o nga whakaeke hou i runga i nga whatunga rorohiko, ako me pehea te whakarōpū i nga whakaeke rorohiko i runga i te MITER ATT & CK matrix, te whakamahi i nga mahinga rangahau punaha whakahaere ki te whakatau i te meka o te taupatupatu me te hanga ano i nga mahi a te hunga whakaeke, tirohia kei hea kei reira nga taonga toi e tohu ana ko wai nga konae i whakatuwherahia whakamutunga , kei reira te punaha whakahaere e rongoa ai i nga korero mo te uta me te whakahaere i nga konae ka taea te whakahaere, me pehea te neke o nga kaiwhaiwhai huri noa i te whatunga, me te ako me pehea te tuhura i enei taonga ma te whakamahi i te BEC. Ka ako ano koe ko nga huihuinga syslog e pai ana mo te tirotiro i nga maiki me te whakatau i te uru mamao, me te ako me pehea te tirotiro ma te whakamahi i te BEC.

Ka whai hua te akoranga mo nga tohunga hangarau e whakatau ana i nga take mo te urunga angitu, te tātari i te mekameka o nga huihuinga me nga hua o nga whakaeke ipurangi; kaiwhakahaere pūnaha; Kaimahi SOC me CERT/CSIRT; nga kaimahi haumaru korero.

Tirohanga Akoranga

Ko Cyber ​​​​Kill Chain e whakaatu ana i nga waahanga matua o tetahi whakaeke hangarau i runga i nga rorohiko (whatunga rorohiko ranei) o te patunga e whai ake nei:

Ko nga mahi a nga kaimahi SOC (CERT, haumarutanga korero, me etahi atu) e whai ana ki te aukati i te hunga pokanoa ki te uru atu ki nga rauemi korero kua tiakina.

Mena ka uru atu nga kaiwhaiwhai ki roto i nga hanganga kua tiakina, me ngana nga tangata o runga ake nei ki te whakaiti i te kino mai i nga mahi a te hunga whakaeke, te whakatau me pehea te whakaekenga o te whakaeke, te hanga ano i nga huihuinga me te raupapa o nga mahi a te hunga whakaeke i roto i te hanganga korero taupatupatu me me whai tikanga hei aukati i tenei momo whakaeke a meake nei.

I roto i te hanganga korero kua taupatupatuhia, ka kitea nga momo tohu e whai ake nei e tohu ana i te whakararu o te whatunga (rorohiko):

Ka kitea enei tohu katoa ma te whakamahi i te Belkasoft Evidence Center.

Kei a BEC tetahi waahanga "Tirotiro Tikanga", i reira, i te wa e tarai ana i nga purongo rokiroki, ka whakatakotohia nga korero mo nga taonga toi hei awhina i te kairangahau ki te tirotiro i nga aitua.

Kei te tautoko a BEC i te tirotiro i nga momo tino toi Windows e tohu ana i te whakarewatanga o nga konae ka taea te whakahaere i runga i te punaha e tirotirohia ana, tae atu ki te Amcache, Userassist, Prefetch, BAM/DAM, Windows 10 Raina Wā, tātaritanga o nga kaupapa punaha.

Ko nga korero mo nga tohu kei roto nga korero mo nga mahi a nga kaiwhakamahi i roto i te punaha taupatupatu ka taea te whakaatu i te ahua e whai ake nei:

Ko enei korero, me etahi atu mea, kei roto nga korero mo te whakarewatanga o nga konae ka taea te whakahaere:

Nga korero mo te whakahaere i te konae 'RDPWInst.exe'.

Ko nga korero mo te hunga whakaeke e noho ana i runga i nga punaha taupatupatu ka kitea i roto i nga taviri whakaoho rehita Windows, nga ratonga, nga mahi kua whakaritea, nga tuhinga takiuru, WMI, me era atu. Ko nga tauira o te kimi korero titi i roto i te punaha a te kaitukino ka kitea i nga whakaahua e whai ake nei:

Te pinea i te hunga whakaeke ma te whakamahi i te raarangi mahi ma te hanga i tetahi mahi e whakahaere ana i te tuhinga PowerShell.

Te whakatika i nga kaiwhaiwhai ma te whakamahi i nga taputapu Whakahaere Windows (WMI).

Te pine i te hunga whakaeke me te tuhinga Takiuru.

Ka taea te kite i te nekehanga o te hunga whakaeke puta noa i te whatunga rorohiko whakararu, hei tauira, ma te tātari i nga raarangi punaha Windows (i te wa e whakamahi ana nga kaiwhaiwhai i te ratonga RDP).

Nga korero mo nga hononga RDP kua kitea.

Ko nga korero mo te nekehanga o nga kaiwhaiwhai i roto i te whatunga.

Na, ka taea e Belkasoft Evidence Center te awhina i nga kairangahau ki te tautuhi i nga rorohiko kua taupatupatuhia i roto i te whatunga rorohiko whakaekea, ki te kimi tohu o te whakarewanga kino, nga tohu o te whakatika i roto i te punaha me te neke huri noa i te whatunga, me etahi atu tohu o nga mahi a te hunga whakaeke i runga i nga rorohiko taupatupatu.

Me pehea te whakahaere i enei rangahau me te kite i nga taonga kua whakaahuatia i runga ake nei e whakaahuatia ana i roto i te akoranga whakangungu Whakatau Whakatau Whakautu a Belkasoft.

Mahere akoranga:

• Te ahua o nga whakaeke ipurangi. Nga hangarau, nga taputapu, nga whainga a te hunga whakaeke
• Te whakamahi i nga tauira riri kia mohio ai koe ki nga tikanga, tikanga, me nga tikanga o te hunga whakaeke
• Te mekameka patu Cyber
• Algorithm whakautu urupare: te tautuhi, te waahi, te whakaputa tohu, te rapu i nga waahanga hou kua pangia
• Te tātari i nga punaha Windows me te BEC
• Te tautuhi i nga tikanga mate tuatahi, te whakawhitinga whatunga, te tohe, te mahi whatunga o te malware ma te whakamahi i te BEC
• Te tautuhi i nga punaha kua pangia me te whakahoki mai i te hitori o te mate ma te whakamahi i te BEC
• Akoranga mahi

FAQKei hea nga akoranga e tu ana?
Ka whakahaerehia nga akoranga ki te tari matua o Roopu-IB, ki tetahi waahi o waho ranei (i te pokapu whakangungu). Ka taea te wehe atu o te kaiwhakangungu i runga i nga papaaho ki nga kaihoko umanga.

Ko wai hei whakahaere i nga karaehe?
Ko nga kaiwhakangungu i te Roopu-IB he kaiwhakangungu he maha nga tau o te wheako i roto i nga tirotirohanga mo te hunga tirotiro, i nga rangahau umanga me te whakautu mai i nga korero.

Ko te tohu o nga kaiwhakangungu ka whakamanahia e te maha o nga tiwhikete o te ao: GCFA, MCFE, ACE, EnCE, etc.

Ka kitea e o maatau kaiwhakangungu he reo noa ki te hunga whakarongo, me te whakamarama i nga kaupapa tino uaua i roto i te huarahi ngawari. Ka ako nga akonga i te maha o nga korero e pa ana ki te tirotiro i nga maiki rorohiko, nga tikanga mo te kimi me te aukati i nga whakaeke rorohiko, ka whiwhi matauranga tino mohio ka taea e ratou te tono i muri tonu i te tohu.

Ka whakawhiwhia e nga akoranga nga pukenga whai hua kaore e pa ana ki nga hua Belkasoft, ka kore ranei enei pukenga e whai mana me te kore tenei rorohiko?
Ko nga pukenga i whakawhiwhia i nga wa whakangungu ka whai hua ahakoa kaore i te whakamahi i nga hua Belkasoft.

He aha te whakauru ki te whakamatautau tuatahi?

Ko te whakamatautau tuatahi he whakamatautau mo te mohiotanga ki nga tikanga o te rangahau rorohiko. Ko te whakamatautau mo te mohiotanga mo nga hua Belkasoft me te Rōpū-IB kaore i te whakamaherehia.

Kei hea ka kitea e au nga korero mo nga akoranga matauranga a te kamupene?

I roto i te anga o nga akoranga matauranga, ka whakangungu a Rōpū-IB i nga tohunga ki te whakautu mai i nga aitua, te rangahau kino, nga tohunga mohio ipurangi (Threat Intelligence), nga tohunga mo te mahi i roto i te Haumarutanga Whakahaere Center (SOC), nga tohunga rapu whakatuma riri (Threat Hunter), etc. . Kei te waatea he rarangi katoa o nga akoranga a te kaituhi mai i te Roopu-IB konei.

He aha nga putea ka whakawhiwhia ki nga akonga e whakaoti ana i nga akoranga tahi o Group-IB me Belkasoft?
Ko te hunga i whakaoti i nga akoranga tahi o Group-IB me Belkasoft ka whiwhi:

1. tiwhikete whakaoti akoranga;
2. ohaurunga marama kore utu ki Belkasoft Evidence Center;
3. 10% hekenga mo te hoko Belkasoft Evidence Center.

Ka whakamahara matou ki a koe ka timata te akoranga tuatahi i te Mane, 9 Mahuru, — kaua e ngaro i te whai waahi ki te whiwhi matauranga ahurei i roto i te waahi o te haumarutanga korero, te tirotiro rorohiko me te whakautu maiki! Te rehitatanga mo te akoranga konei.

RauemiI te whakareri i te tuhinga, i whakamahia te whakaaturanga a Oleg Skulkin "Ma te whakamahi i nga kaitirotiro a te kaihautu ki te tiki tohu o te whakararu mo te whakautu mai i te maaramatanga angitu" i whakamahia.

Source: will.com