Group-IB болон Belkasoft хамтарсан сургалтууд: бид юу заах, хэн оролцох вэ

Мэдээллийн аюулгүй байдлын ослын эсрэг хариу арга хэмжээ авах алгоритм, тактикууд, одоогийн кибер халдлагын чиг хандлага, компаниудын мэдээллийн алдагдлыг судлах арга барил, хөтөч болон гар утасны төхөөрөмжүүдийн судалгаа, шифрлэгдсэн файлд дүн шинжилгээ хийх, газарзүйн байршлын мэдээлэл задлах, их хэмжээний өгөгдлийн аналитик - эдгээр болон бусад сэдвүүд. Group-IB болон Belkasoft-ийн хамтарсан шинэ курсууд дээр суралцах боломжтой. XNUMX-р сард бид зарласан 9-р сарын XNUMX-нд эхлэх Belkasoft Digital Forensics-ийн анхны сургалт бөгөөд олон тооны асуултуудыг хүлээн авсны дараа бид оюутнууд юу сурах, ямар мэдлэг, чадвар, урамшуулал (!) авах талаар дэлгэрэнгүй ярихаар шийдсэн. төгсгөлд хүрэх. Эхний зүйл.

Хоёр Бүгд нэг дор

Хамтарсан сургалт зохион байгуулах санаа нь Group-IB курсын оролцогчид эвдэрсэн компьютерийн систем, сүлжээг судлахад туслах хэрэгслийн талаар асууж, ослын үед ашиглахыг санал болгож буй янз бүрийн үнэгүй хэрэгслүүдийн функцийг нэгтгэж эхэлсний дараа гарч ирэв.

Бидний бодлоор ийм хэрэгсэл нь Belkasoft Evidence Center байж болно (бид энэ талаар аль хэдийн ярьсан нийтлэл Игорь Михайлов "Эхлэх түлхүүр: Компьютерийн криминалистикийн шилдэг програм хангамж, техник хангамж"). Тиймээс бид Belkasoft-той хамтран хоёр сургалтын хөтөлбөр боловсруулсан. Belkasoft дижитал шүүх эмнэлэг и Belkasoft ослын хариу шалгалт.

ЧУХАЛ: хичээлүүд нь дараалсан бөгөөд хоорондоо холбоотой! Belkasoft Digital Forensics нь Belkasoft Evidence Center хөтөлбөрт зориулагдсан бөгөөд Belkasoft Incident Response Examination нь Belkasoft-ийн бүтээгдэхүүнийг ашигласан тохиолдлыг судлахад зориулагдсан болно. Өөрөөр хэлбэл, Belkasoft ослын хариу арга хэмжээний шалгалтын курст суралцахаасаа өмнө бид Belkasoft Digital Forensics курст хамрагдахыг зөвлөж байна. Хэрэв та ослын мөрдөн байцаалтын хичээлийг шууд эхлүүлбэл оюутан Belkasoft Evidence Center-ийг ашиглах, шүүх эмнэлгийн олдворуудыг олох, шалгах зэрэгт ядаргаатай мэдлэгийн хомсдолтой байж магадгүй юм. Энэ нь Belkasoft-ийн ослын хариу урвалын шалгалтын сургалтанд хамрагдах явцад оюутан материалыг эзэмших цаг гарахгүй, эсвэл сургалтын цаг зарцуулагдах тул бүлгийн бусад гишүүд шинэ мэдлэг олж авах явцыг удаашруулж болзошгүй юм. сургагч багш Belkasoft Digital Forensics курсын материалыг тайлбарлаж байна.

Belkasoft нотлох төвтэй компьютерийн криминалистик

Хичээлийн зорилго Belkasoft дижитал шүүх эмнэлэг — оюутнуудад Belkasoft Evidence Center хөтөлбөртэй танилцуулах, энэ программыг ашиглан янз бүрийн эх сурвалжаас нотлох баримт цуглуулахыг заах (үүлэн санах ой, санамсаргүй хандалтын санах ой (RAM), хөдөлгөөнт төхөөрөмж, хадгалах хэрэгсэл (хатуу диск, флаш диск гэх мэт), мастер криминалистикийн үндсэн арга техник, аргачлалууд, Windows олдворууд, хөдөлгөөнт төхөөрөмж, RAM овоолгын шүүх эмнэлгийн шинжилгээний арга. Мөн та хөтөч болон шуурхай мессежийн программуудын олдворуудыг тодорхойлж, баримтжуулах, янз бүрийн эх сурвалжаас өгөгдлийн криминалийн хуулбар үүсгэх, газарзүйн байршлын өгөгдлийг гаргаж авах, хайх зэрэгт суралцах болно. текстийн дарааллын хувьд (түлхүүр үгээр хайх), судалгаа хийхдээ хэш ашиглах, Windows бүртгэлд дүн шинжилгээ хийх, үл мэдэгдэх SQLite мэдээллийн санг судлах ур чадвар, график болон видео файлуудыг шалгах үндэс, мөрдөн байцаалтын явцад ашигласан аналитик аргуудыг эзэмших.

Энэ курс нь компьютерийн техникийн криминалистикийн чиглэлээр мэргэшсэн мэргэжилтнүүдэд ашигтай байх болно (компьютерийн криминалистик); амжилттай халдлага болсон шалтгааныг тодорхойлж, үйл явдлын гинжин хэлхээ, кибер халдлагын үр дагаварт дүн шинжилгээ хийдэг техникийн мэргэжилтнүүд; дотоод зөрчигч (дотоод зөрчигч) -ийн мэдээлэл хулгайлсан (алдагдсан) -ийг тодорхойлж, баримтжуулж буй техникийн мэргэжилтнүүд; Цахим нээлтийн мэргэжилтнүүд; SOC болон CERT/CSIRT ажилтнууд; мэдээллийн аюулгүй байдлын ажилтнууд; компьютерийн шүүх эмнэлгийн сонирхогчид.

Хичээлийн төлөвлөгөө:

• Belkasoft Evidence Center (BEC): эхний алхамууд
• BEC-д хэрэг үүсгэх, боловсруулах
• BEC-тэй шүүх эмнэлгийн мөрдөн байцаалтад зориулж дижитал нотлох баримт цуглуулах

• Шүүлтүүр ашиглах
• Тайлан мэдээлэх
• Шуурхай мессежийн программуудын судалгаа

• Вэб хөтчийн судалгаа

• Хөдөлгөөнт төхөөрөмжийн судалгаа
• Газарзүйн байршлын өгөгдлийг гаргаж байна

• Тохиолдолд текстийн дарааллыг хайж байна
• Клоуд сангаас өгөгдөл задлах, дүн шинжилгээ хийх
• Судалгааны явцад олдсон чухал нотолгоог тодруулахын тулд хавчуурга ашиглах
• Windows системийн файлуудыг шалгах

• Windows бүртгэлийн дүн шинжилгээ
• SQLite мэдээллийн сангийн шинжилгээ

• Өгөгдөл сэргээх аргууд
• RAM-ийн овоолгыг шалгах арга техник
• Шүүх эмнэлгийн судалгаанд хэш тооцоолуур болон хэш анализыг ашиглах
• Шифрлэгдсэн файлуудын шинжилгээ
• График болон видео файлуудыг судлах арга
• Шүүх эмнэлгийн судалгаанд аналитик аргыг ашиглах
• Суурилуулсан Belkascripts програмчлалын хэлийг ашиглан ердийн үйлдлүүдийг автоматжуулах

• Практик хичээлүүд

Курс: Belkasoft ослын хариу арга хэмжээний шалгалт

Хичээлийн зорилго нь кибер халдлагыг шүүх эмнэлгийн мөрдөн байцаалтын үндсүүд болон Belkasoft Evidence Center-ийг мөрдөн байцаалтын явцад ашиглах боломжуудад суралцах явдал юм. Та компьютерийн сүлжээнд орчин үеийн халдлагын гол векторуудын талаар суралцах, MITER ATT&CK матрицад үндэслэн компьютерийн халдлагыг ангилж сурах, буулт хийсэн баримтыг тогтоох үйлдлийн системийн судалгааны алгоритмуудыг ашиглах, халдагчдын үйлдлийг сэргээн засварлах, олдворууд хаана байрлаж байгааг мэдэх болно. Хамгийн сүүлд аль файлыг нээсэн, гүйцэтгэх боломжтой файлуудыг хэрхэн татаж авч гүйцэтгэсэн, халдагчид сүлжээгээр хэрхэн хөдөлсөн талаарх мэдээллийг хаана хадгалдаг болохыг зааж өгөх ба BEC ашиглан эдгээр олдворуудыг хэрхэн шалгах талаар суралц. Та мөн системийн бүртгэлд ямар үйл явдал тохиолдлуудыг судлах, алсаас хандалтыг илрүүлэх үүднээс сонирхож байгааг мэдэж, BEC ашиглан хэрхэн судлах талаар суралцах болно.

Хичээл нь амжилттай халдлага болсон шалтгааныг тодорхойлж, үйл явдлын гинжин хэлхээ, кибер халдлагын үр дагаварт дүн шинжилгээ хийдэг техникийн мэргэжилтнүүдэд ашигтай байх болно; системийн администраторууд; SOC болон CERT/CSIRT ажилтнууд; мэдээллийн аюулгүй байдлын ажилтнууд.

Курсын тойм

Cyber ​​​​Kill Chain нь хохирогчийн компьютер (эсвэл компьютерийн сүлжээ) рүү чиглэсэн аливаа техникийн халдлагын үндсэн үе шатуудыг дараах байдлаар тодорхойлдог.

SOC-ийн ажилтнуудын үйл ажиллагаа (CERT, мэдээллийн аюулгүй байдал гэх мэт) нь халдагчдыг хамгаалагдсан мэдээллийн нөөцөд нэвтрэхээс урьдчилан сэргийлэхэд чиглэгддэг.

Хэрэв халдагчид хамгаалагдсан дэд бүтцэд нэвтэрсэн бол дээрх хүмүүс халдагчдын үйл ажиллагаанаас учирч болох хохирлыг багасгахыг хичээж, халдлага хэрхэн хийгдсэнийг тодорхойлж, халдсан мэдээллийн бүтцэд үйл явдал, үйлдлүүдийн дарааллыг сэргээн засварлах хэрэгтэй. ирээдүйд энэ төрлийн халдлагаас урьдчилан сэргийлэх арга хэмжээ.

Сүлжээ (компьютер) эвдэрсэн болохыг илтгэх мэдээллийн дэд бүтцээс дараах төрлийн ул мөрийг олж болно.

Ийм бүх ул мөрийг Belkasoft Evidence Center програмыг ашиглан олж болно.

BEC нь "Ойл явдлын судалгаа" модультай бөгөөд хадгалалтын зөөвөрлөгчид дүн шинжилгээ хийхдээ олдворын талаарх мэдээллийг байрлуулсан бөгөөд энэ нь осол гэмтлийг судлахад судлаачдад туслах болно.

BEC нь Amcache, Userassist, Prefetch, BAM/DAM файлууд зэрэг мөрдөн байцаалтын шатанд байгаа систем дээрх гүйцэтгэгдэх файлуудын гүйцэтгэлийг харуулсан үндсэн төрлийн Windows олдворуудыг шалгахыг дэмждэг. Windows 10 цагийн хэлхээс,системийн үйл явдлын дүн шинжилгээ.

Эвдэрсэн систем дэх хэрэглэгчийн үйлдлийн талаарх мэдээллийг агуулсан ул мөрийн талаарх мэдээллийг дараах хэлбэрээр танилцуулж болно.

Эдгээр мэдээлэл нь бусад зүйлсийн дотор гүйцэтгэх боломжтой файлуудыг ажиллуулах тухай мэдээллийг агуулдаг:

'RDPWInst.exe' файлыг ажиллуулах тухай мэдээлэл.

Халдагчид эвдэрсэн системд байгаа талаарх мэдээллийг Windows бүртгэлийн эхлүүлэх түлхүүр, үйлчилгээ, хуваарьт даалгавар, нэвтрэх скрипт, WMI гэх мэтээс олж болно. Системд холбогдсон халдагчдын талаарх мэдээллийг илрүүлэх жишээг дараах дэлгэцийн агшинд харж болно.

PowerShell скрипт ажиллуулдаг даалгаврыг бий болгосноор халдагчдыг даалгавар төлөвлөгч ашиглан хязгаарлах.

Windows Management Instrumentation (WMI) ашиглан халдагчдыг нэгтгэж байна.

Logon скрипт ашиглан халдагчдыг нэгтгэж байна.

Эвдэрсэн компьютерийн сүлжээгээр халдагчдын хөдөлгөөнийг жишээ нь Windows системийн бүртгэлд дүн шинжилгээ хийх замаар илрүүлж болно (хэрэв халдагчид RDP үйлчилгээг ашигладаг бол).

Илэрсэн RDP холболтын талаарх мэдээлэл.

Сүлжээ даяар халдагчдын хөдөлгөөний талаархи мэдээлэл.

Тиймээс Belkasoft Evidence Center нь судлаачдад халдлагад өртсөн компьютерийн сүлжээн дэх эвдэрсэн компьютерийг тодорхойлох, хортой програм ажиллуулсны ул мөр, систем дэх бэхэлгээний ул мөр, сүлжээгээр дамжсан байдал болон халдсан компьютер дээрх халдагчийн үйл ажиллагааны бусад ул мөрийг олоход тусална.

Ийм судалгаа хийж, дээр дурдсан олдворуудыг хэрхэн илрүүлэх талаар Belkasoft-ийн ослын хариу арга хэмжээний шалгалтын сургалтын курст тайлбарласан болно.

Хичээлийн төлөвлөгөө:

• Кибер халдлагын чиг хандлага. Халдагчдын технологи, хэрэгсэл, зорилго
• Халдагчийн тактик, техник, процедурыг ойлгохын тулд аюул заналхийллийн загварыг ашиглах
• Кибер аллагын гинж
• Осолд хариу үйлдэл үзүүлэх алгоритм: тодорхойлох, нутагшуулах, индикатор үүсгэх, халдвар авсан шинэ зангилаа хайх
• BEC ашиглан Windows системүүдийн шинжилгээ
• BEC ашиглан хортой програмын анхдагч халдвар, сүлжээний тархалт, нэгтгэх, сүлжээний үйл ажиллагааны аргуудыг илрүүлэх
• BEC ашиглан халдвар авсан системийг тодорхойлж, халдварын түүхийг сэргээх
• Практик хичээлүүд

тусламжСургалтууд хаана явагддаг вэ?
Хичээлүүдийг Group-IB-ийн төв оффис эсвэл гадны сайтад (сургалтын төв) явуулдаг. Сургагч багш нь байгууллагын үйлчлүүлэгчидтэй сайтуудаар аялах боломжтой.

Хичээлийг хэн удирддаг вэ?
Group-IB-ийн сургагч багш нар нь шүүх эмнэлгийн судалгаа, байгууллагын мөрдөн байцаалт, мэдээллийн аюулгүй байдлын зөрчилд хариу арга хэмжээ авах чиглэлээр олон жилийн туршлагатай дадлагажигчид юм.

Сургагч багш нарын ур чадварыг GCFA, MCFE, ACE, EnCE гэх мэт олон улсын гэрчилгээгээр баталгаажуулдаг.

Манай сургагч багш нар үзэгчидтэй нийтлэг хэлийг хялбархан олж, хамгийн төвөгтэй сэдвүүдийг ч тодорхой тайлбарладаг. Оюутнууд компьютерийн ослыг судлах, компьютерийн халдлагыг илрүүлэх, эсэргүүцэх аргуудын талаар олон сонирхолтой, хэрэгцээтэй мэдээллийг сурч, сургуулиа төгсөөд шууд хэрэгжүүлэх бодит практик мэдлэгийг олж авах болно.

Сургалтууд нь Belkasoft-ийн бүтээгдэхүүнтэй холбоогүй хэрэгцээтэй ур чадваруудыг өгөх үү, эсвэл энэ програм хангамжгүйгээр эдгээр ур чадварыг ашиглах боломжгүй байх уу?
Сургалтын явцад олж авсан ур чадвар нь Belkasoft-ийн бүтээгдэхүүнийг ашиглахгүйгээр ашигтай байх болно.

Анхны шалгалтанд юу багтсан бэ?

Анхан шатны шалгалт нь компьютерийн криминалистикийн үндсүүдийн мэдлэгийг шалгах тест юм. Belkasoft болон Group-IB бүтээгдэхүүний талаарх мэдлэгийг шалгах төлөвлөгөө байхгүй.

Компанийн сургалтын талаарх мэдээллийг хаанаас авах вэ?

Боловсролын сургалтын нэг хэсэг болох Групп-IB нь ослын хариу арга хэмжээ, хортой програмын судалгаа, кибер тагнуулын мэргэжилтнүүд (Аюулын тагнуул), Аюулгүй байдлын үйл ажиллагааны төвд (SOC) ажиллах мэргэжилтэн, аюул заналыг урьдчилан сэргийлэх чиглэлээр мэргэшсэн мэргэжилтнүүдийг (Threat Hunter) сургадаг. . Group-IB-ийн өмчийн курсуудын бүрэн жагсаалтыг авах боломжтой энд.

Group-IB болон Belkasoft хоёрын хамтарсан сургалтанд хамрагдсан оюутнууд ямар урамшуулал авдаг вэ?
Group-IB болон Belkasoft-ийн хамтарсан сургалтанд хамрагдсан хүмүүс дараахь зүйлийг авна.

1. курс төгссөн гэрчилгээ;
2. Belkasoft Evidence Center-д сар бүр үнэ төлбөргүй бүртгүүлэх;
3. Belkasoft Evidence Center-ийг худалдан авахад 10% хөнгөлөлт үзүүлнэ.

Эхний сургалт даваа гаригт эхэлнэ гэдгийг бид танд сануулж байна. 9 Есдүгээр сар, - Мэдээллийн аюулгүй байдал, компьютерийн шүүх шинжилгээ, ослын хариу арга хэмжээний чиглэлээр өвөрмөц мэдлэг олж авах боломжийг бүү алдаарай! Сургалтын бүртгэл энд.

Эх сурвалжуудӨгүүллийг бэлтгэхдээ бид Олег Скулкины "Тагнуулын хэрэгслээр амжилттай хариу үйлдэл үзүүлэхийн тулд буулт хийх үзүүлэлтүүдийг олж авахын тулд хост дээр суурилсан криминалистикийг ашиглах нь" гэсэн илтгэлийг ашигласан.

Эх сурвалж: www.habr.com