Заеднички курсеви на Group-IB и Belkasoft: што ќе научиме и кој да дојде

Алгоритми и тактики за одговор на инциденти со безбедноста на информациите, трендови во тековните сајбер напади, пристапи за истражување на протекување податоци во компании, истражување на прелистувачи и мобилни уреди, анализа на шифрирани датотеки, извлекување податоци за геолокација и аналитика на голем обем на податоци - сите овие и други теми може да се изучува на нови заеднички курсеви на Group-IB и Belkasoft. Во август ние објавија првиот курс за дигитална форензика на Belkasoft, кој започнува на 9 септември, а откако добивме голем број прашања, решивме подетално да разговараме за тоа што ќе студираат студентите, какви знаења, компетенции и бонуси (!) ќе добијат оние кои стигнете до крајот. Првите нешта прво.

Два Сите во едно

Идејата за одржување заеднички курсеви за обука се појави откако учесниците на курсот Group-IB почнаа да прашуваат за алатка која ќе им помогне во истражувањето на компромитирани компјутерски системи и мрежи и ќе ги комбинира функционалноста на различни бесплатни алатки што ги препорачуваме да ги користат за време на одговор на инцидентот.

Според наше мислење, таква алатка може да биде Belkasoft Evidence Center (веќе разговаравме за тоа во Член Игор Михаилов „Клуч за почеток: најдобар софтвер и хардвер за компјутерска форензика“). Затоа, ние, заедно со Belkasoft, развивме два курса за обука: Дигитална форензика на Belkasoft и Испитување за одговор на инциденти на Belkasoft.

ВАЖНО: курсевите се последователни и меѓусебно поврзани! Belkasoft Digital Forensics е посветена на програмата Belkasoft Evidence Center, а Belkasoft Incident Response Examination е посветена на истражување на инциденти со користење на производите на Belkasoft. Односно, пред да го проучувате курсот Belkasoft Incident Response Examination, силно препорачуваме да го завршите курсот Belkasoft Digital Forensics. Ако веднаш започнете со курс за истраги на инциденти, студентот може да има досадни празнини во знаењето во користењето на Центарот за докази на Belkasoft, пронаоѓањето и испитувањето на форензичките артефакти. Ова може да доведе до фактот дека за време на обуката на курсот Belkasoft Incident Response Examination, студентот или нема да има време да го совлада материјалот или ќе го забави остатокот од групата во стекнување на нови знаења, бидејќи времето за обука ќе биде потрошено од страна на обучувачот кој го објаснува материјалот од курсот Belkasoft Digital Forensics.

Компјутерска форензика со Belkasoft Evidence Center

Цел на курсот Дигитална форензика на Belkasoft — запознајте ги студентите со програмата Belkasoft Evidence Center, научете ги да ја користат оваа програма за собирање докази од различни извори (зачувување во облак, меморија за случаен пристап (RAM), мобилни уреди, медиуми за складирање (хард дискови, флеш драјвови, итн.), господар основни форензички техники и техники, методи на форензичко испитување на артефакти на Windows, мобилни уреди, депонии на RAM меморија. Исто така, ќе научите да идентификувате и документирате артефакти на прелистувачи и програми за инстант пораки, да креирате форензички копии на податоци од различни извори, да извлекувате податоци за геолокација и да пребарувате за текстуални секвенци (пребарување клучни зборови), користете хеш при спроведување на истражување, анализирајте го регистарот на Windows, совладајте ги вештините за истражување на непознати бази на податоци на SQLite, основите на испитување графички и видео датотеки и аналитички техники што се користат за време на истрагите.

Курсот ќе биде корисен за експерти со специјализација од областа на компјутерската техничка форензика (компјутерска форензика); технички специјалисти кои ги утврдуваат причините за успешен упад, го анализираат синџирот на настани и последиците од сајбер нападите; технички специјалисти кои идентификуваат и документираат кражба на податоци (протекување) од инсајдер (внатрешен прекршител); специјалисти за e-Discovery; SOC и CERT/CSIRT персонал; вработени во безбедноста на информациите; ентузијасти за компјутерска форензика.

План на курсот:

• Belkasoft Evidence Center (BEC): први чекори
• Креирање и процесуирање на предмети во БЕЦ
• Соберете дигитални докази за форензички истраги со BEC

• Користење на филтри
• Известување
• Истражување за програмите за инстант пораки

• Истражување на веб-прелистувачи

• Истражување на мобилни уреди
• Извлекување податоци за геолокација

• Пребарување текстуални секвенци во случаи
• Извлекување и анализа на податоци од складишта на облак
• Користење на обележувачи за истакнување на значајни докази пронајдени за време на истражувањето
• Испитување на системски датотеки на Windows

• Анализа на регистар на Windows
• Анализа на бази на податоци на SQLite

• Методи за обновување податоци
• Техники за испитување на депонии на RAM меморија
• Користење на хаш калкулатор и хаш анализа во форензичко истражување
• Анализа на шифрирани датотеки
• Методи за проучување на графички и видео датотеки
• Употреба на аналитички техники во форензичко истражување
• Автоматизирајте ги рутинските дејства користејќи го вградениот програмски јазик Belkascripts

• Практични вежби

Курс: Испитување за одговор на инциденти на Belkasoft

Целта на курсот е да се научат основите на форензичката истрага на сајбер нападите и можностите за користење на Belkasoft Evidence Center во истрагата. Ќе научите за главните вектори на современите напади на компјутерските мрежи, ќе научите да ги класифицирате компјутерските напади врз основа на матрицата MITER ATT&CK, ќе примените алгоритми за истражување на оперативниот систем за да го утврдите фактот на компромис и да ги реконструирате дејствата на напаѓачите, да научите каде се наоѓаат артефактите кои наведете кои датотеки се отворени последни , каде оперативниот систем складира информации за тоа како се преземале и извршувале извршните датотеки, како напаѓачите се движеле низ мрежата и научете како да ги испитате овие артефакти користејќи BEC. Исто така, ќе научите кои настани во системските дневници се од гледна точка на истрага на инциденти и откривање на далечински пристап, и ќе научите како да ги истражите користејќи BEC.

Курсот ќе биде корисен за техничките специјалисти кои ги утврдуваат причините за успешен упад, ги анализираат синџирите на настани и последиците од сајбер нападите; системски администратори; SOC и CERT/CSIRT персонал; персонал за безбедност на информации.

Преглед на курсот

Cyber ​​​​Kill Chain ги опишува главните фази на секој технички напад на компјутерите (или компјутерската мрежа) на жртвата на следниов начин:

Постапките на вработените во СПЦ (ЦЕРТ, информациска безбедност итн.) се насочени кон спречување на натрапниците да пристапат до заштитените информациски ресурси.

Ако напаѓачите навистина навлезат во заштитената инфраструктура, тогаш горенаведените лица треба да се обидат да ја минимизираат штетата од активностите на напаѓачите, да утврдат како е извршен нападот, да ги реконструираат настаните и редоследот на дејствијата на напаѓачите во компромитирана информациска структура и да преземат мерки за спречување на овој тип на напади во иднина.

Следниве типови на траги може да се најдат во компромитирана информациска инфраструктура, што покажува дека мрежата (компјутерот) е компромитирана:

Сите такви траги може да се најдат со помош на програмата Belkasoft Evidence Center.

BEC има модул „Истрага на инциденти“, каде што, при анализа на медиумот за складирање, се ставаат информации за артефакти кои можат да му помогнат на истражувачот при истражување на инциденти.

BEC поддржува испитување на главните типови на артефакти на Windows кои укажуваат на извршување на извршни датотеки на системот што се истражува, вклучувајќи Amcache, Userassist, Prefetch, BAM/DAM датотеки, Виндоус 10 времеплов,анализа на системски настани.

Информациите за трагите што содржат информации за корисничките дејства во компромитиран систем може да се претстават во следнава форма:

Овие информации, меѓу другото, вклучуваат информации за извршување на извршни датотеки:

Информации за извршување на датотеката „RDPWInst.exe“.

Информациите за присуството на напаѓачите во компромитирани системи може да се најдат во клучевите за стартување на регистарот на Windows, услугите, закажаните задачи, скриптите за најавување, WMI итн. Примери за откривање информации за напаѓачите кои се прикачени на системот може да се видат на следните слики од екранот:

Ограничување на напаѓачите со користење на распоредувачот на задачи со креирање задача што работи PowerShell скрипта.

Консолидирање на напаѓачите со користење на Windows Management Instrumentation (WMI).

Консолидирање на напаѓачите користејќи скрипта Logon.

Движењето на напаѓачите низ компромитирана компјутерска мрежа може да се открие, на пример, со анализа на системските дневници на Windows (ако напаѓачите ја користат услугата RDP).

Информации за откриените RDP врски.

Информации за движењето на напаѓачите низ мрежата.

Така, Belkasoft Evidence Center може да им помогне на истражувачите да идентификуваат компромитирани компјутери во нападната компјутерска мрежа, да најдат траги од лансирање на малициозен софтвер, траги од фиксација во системот и движење низ мрежата и други траги од активноста на напаѓачот на компромитирани компјутери.

Како да се спроведе такво истражување и да се откријат артефактите опишани погоре е опишано во курсот за обука на Belkasoft Incident Response Examination.

План на курсот:

• Трендови на сајбер напади. Технологии, алатки, цели на напаѓачите
• Користење на модели за закана за разбирање на тактиките, техниките и процедурите на напаѓачот
• Сајбер-убиствен синџир
• Алгоритам за одговор на инцидентот: идентификација, локализација, генерирање индикатори, пребарување на нови инфицирани јазли
• Анализа на Windows системи со користење на BEC
• Откривање на методи на примарна инфекција, ширење на мрежата, консолидација и мрежна активност на малициозен софтвер користејќи BEC
• Идентификувајте ги заразените системи и вратете ја историјата на инфекција користејќи BEC
• Практични вежби

Често поставувани прашањаКаде се одржуваат курсевите?
Курсевите се одржуваат во седиштето на Group-IB или на надворешна локација (центар за обука). Можно е тренер да патува на локации со корпоративни клиенти.

Кој ја води наставата?
Обучувачите во Group-IB се практичари со долгогодишно искуство во спроведување на форензички истражувања, корпоративни истраги и одговор на инциденти со безбедноста на информациите.

Квалификациите на обучувачите се потврдени со бројни меѓународни сертификати: GCFA, MCFE, ACE, EnCE итн.

Нашите тренери лесно наоѓаат заеднички јазик со публиката, јасно објаснувајќи ги дури и најсложените теми. Студентите ќе научат многу релевантни и интересни информации за истражување на компјутерски инциденти, методи за идентификување и спротивставување на компјутерски напади и ќе стекнат вистинско практично знаење што ќе можат да го применат веднаш по дипломирањето.

Дали курсевите ќе обезбедат корисни вештини кои не се поврзани со производите на Belkasoft или овие вештини ќе бидат неприменливи без овој софтвер?
Вештините стекнати за време на обуката ќе бидат корисни без користење на производите на Belkasoft.

Што е вклучено во првичното тестирање?

Примарното тестирање е тест за познавање на основите на компјутерската форензика. Нема планови за тестирање на знаењето за производите на Belkasoft и Group-IB.

Каде можам да најдам информации за образовните курсеви на компанијата?

Како дел од едукативните курсеви, Group-IB обучува специјалисти за одговор на инциденти, истражување на малициозен софтвер, специјалисти за сајбер разузнавање (Threat Intelligence), специјалисти за работа во оперативниот центар за безбедност (SOC), специјалисти за проактивен лов на закани (Threat Hunter) итн. . Достапна е комплетна листа на неслободни курсеви од Group-IB тука.

Какви бонуси добиваат студентите кои завршуваат заеднички курсеви помеѓу Group-IB и Belkasoft?
Оние кои имаат завршено обука на заеднички курсеви помеѓу Group-IB и Belkasoft ќе добијат:

1. сертификат за завршен курс;
2. бесплатна месечна претплата на Belkasoft Evidence Center;
3. 10% попуст при купување на Belkasoft Evidence Center.

Потсетуваме дека првиот курс започнува во понеделник, 9 септември, - не пропуштајте ја можноста да стекнете уникатно знаење од областа на информациската безбедност, компјутерската форензика и одговорот на инциденти! Пријавување за курсот тука.

ИзвориПри подготовката на статијата, ја искористивме презентацијата на Олег Скулкин „Користење форензика базирана на домаќин за да се добијат показатели за компромис за успешен одговор на инцидентот управуван од разузнавањето“.

Извор: www.habr.com