Gezamenlijke cursussen van Group-IB en Belkasoft: wat we gaan geven en wie er komt

Algoritmen en tactieken voor het reageren op informatiebeveiligingsincidenten, trends in de huidige cyberaanvallen, benaderingen voor het onderzoeken van datalekken in bedrijven, het onderzoeken van browsers en mobiele apparaten, het analyseren van gecodeerde bestanden, het extraheren van geolocatiegegevens en het analyseren van grote hoeveelheden gegevens - al deze en andere onderwerpen kan worden bestudeerd op nieuwe gezamenlijke cursussen van Group-IB en Belkasoft. In augustus wij aangekondigd de eerste cursus Belkasoft Digital Forensics, die op 9 september begint, en nadat we een groot aantal vragen hadden ontvangen, besloten we om meer in detail te praten over wat studenten gaan studeren, welke kennis, competenties en bonussen (!) zullen worden ontvangen door degenen die het einde bereiken. Eerste dingen eerst.

Twee Alles in één

Het idee om gezamenlijke trainingen te houden ontstond nadat deelnemers aan de Group-IB-cursussen begonnen te vragen naar een tool die hen zou helpen bij het onderzoeken van gecompromitteerde computersystemen en netwerken, en die de functionaliteit zou combineren van verschillende gratis hulpprogramma's die we aanbevelen te gebruiken tijdens incidentrespons.

Naar onze mening zou zo’n tool Belkasoft Evidence Center kunnen zijn (we hebben er al over gesproken in статье Igor Mikhailov “Sleutel tot het begin: de beste software en hardware voor computerforensisch onderzoek”). Daarom hebben wij samen met Belkasoft twee trainingen ontwikkeld: Belkasoft digitaal forensisch onderzoek и Belkasoft Incident Response-onderzoek.

BELANGRIJK: de cursussen volgen elkaar op en zijn met elkaar verbonden! Belkasoft Digital Forensics is gewijd aan het Belkasoft Evidence Center-programma, en Belkasoft Incident Response Examination is gewijd aan het onderzoeken van incidenten met behulp van Belkasoft-producten. Dat wil zeggen: voordat u de cursus Belkasoft Incident Response Examination gaat studeren, raden wij u ten zeerste aan de cursus Belkasoft Digital Forensics te voltooien. Als u meteen begint met een cursus over incidentonderzoek, kan het zijn dat de student vervelende kennislacunes heeft bij het gebruik van het Belkasoft Evidence Center en het vinden en onderzoeken van forensische artefacten. Dit kan ertoe leiden dat de student tijdens de training in de cursus Belkasoft Incident Response Examination ofwel geen tijd heeft om de stof onder de knie te krijgen, ofwel de rest van de groep zal vertragen bij het verwerven van nieuwe kennis, aangezien de trainingstijd zal worden besteed door de trainer die de stof uit de cursus Belkasoft Digital Forensics uitlegt.

Computerforensisch onderzoek met Belkasoft Evidence Center

Doel van de cursus Belkasoft digitaal forensisch onderzoek — studenten kennis laten maken met het Belkasoft Evidence Center-programma, hen leren dit programma te gebruiken om bewijsmateriaal te verzamelen uit verschillende bronnen (cloudopslag, Random Access Memory (RAM), mobiele apparaten, opslagmedia (harde schijven, flashdrives, enz.), master basis forensische technieken en technieken, methoden voor forensisch onderzoek van Windows-artefacten, mobiele apparaten, RAM-dumps. Je leert ook artefacten van browsers en instant messaging-programma's te identificeren en documenteren, forensische kopieën van gegevens uit verschillende bronnen te maken, geolocatiegegevens te extraheren en te zoeken voor tekstreeksen (zoeken op trefwoorden), gebruik hashes bij het uitvoeren van onderzoek, analyseer het Windows-register, beheers de vaardigheden van het verkennen van onbekende SQLite-databases, de basisprincipes van het onderzoeken van grafische en videobestanden, en analytische technieken die worden gebruikt tijdens onderzoeken.

De cursus zal nuttig zijn voor experts met specialisatie op het gebied van computertechnische forensiek (computer forensisch onderzoek); technische specialisten die de redenen voor een succesvolle inbraak bepalen, de reeks gebeurtenissen en de gevolgen van cyberaanvallen analyseren; technische specialisten die gegevensdiefstal (lekken) door een insider (interne overtreder) identificeren en documenteren; e-Discovery-specialisten; SOC- en CERT/CSIRT-personeel; werknemers op het gebied van informatiebeveiliging; liefhebbers van computerforensisch onderzoek.

Cursusplan:

• Belkasoft Evidence Center (BEC): eerste stappen
• Aanmaken en verwerken van dossiers in BEC
• Verzamel digitaal bewijsmateriaal voor forensisch onderzoek met BEC

• Filters gebruiken
• Rapportage
• Onderzoek naar instant messaging-programma's

• Onderzoek naar webbrowsers

• Onderzoek naar mobiele apparaten
• Geolocatiegegevens extraheren

• Zoeken naar tekstreeksen in dossiers
• Gegevens extraheren en analyseren uit cloudopslag
• Bladwijzers gebruiken om belangrijk bewijsmateriaal dat tijdens onderzoek is gevonden te markeren
• Onderzoek van Windows-systeembestanden

• Windows-registeranalyse
• Analyse van SQLite-databases

• Methoden voor gegevensherstel
• Technieken voor het onderzoeken van RAM-dumps
• Het gebruik van hashcalculator en hash-analyse in forensisch onderzoek
• Analyse van gecodeerde bestanden
• Methoden voor het bestuderen van grafische en videobestanden
• Het gebruik van analytische technieken in forensisch onderzoek
• Automatiseer routinematige handelingen met de ingebouwde programmeertaal Belkascripts

• Praktische oefeningen

Cursus: Belkasoft Incident Response-examen

Het doel van de cursus is om de basisprincipes van forensisch onderzoek naar cyberaanvallen te leren en de mogelijkheden om Belkasoft Evidence Center in een onderzoek te gebruiken. Je leert over de belangrijkste vectoren van moderne aanvallen op computernetwerken, leert computeraanvallen te classificeren op basis van de MITRE ATT&CK-matrix, past onderzoeksalgoritmen voor besturingssystemen toe om het feit van compromissen vast te stellen en de acties van aanvallers te reconstrueren, leert waar artefacten zich bevinden die geef aan welke bestanden het laatst zijn geopend, waar het besturingssysteem informatie opslaat over hoe uitvoerbare bestanden zijn gedownload en uitgevoerd, hoe aanvallers zich over het netwerk hebben verplaatst, en leer hoe u deze artefacten kunt onderzoeken met behulp van BEC. U leert ook welke gebeurtenissen in systeemlogboeken van belang zijn vanuit het oogpunt van incidentonderzoek en detectie van externe toegang, en leert hoe u deze kunt onderzoeken met behulp van BEC.

De cursus zal nuttig zijn voor technische specialisten die de redenen voor een succesvolle inbraak bepalen, ketens van gebeurtenissen en de gevolgen van cyberaanvallen analyseren; systeembeheerders; SOC- en CERT/CSIRT-personeel; informatiebeveiligingspersoneel.

Cursusoverzicht

Cyber ​​Kill Chain beschrijft de belangrijkste fasen van elke technische aanval op de computers (of het computernetwerk) van het slachtoffer als volgt:

Het handelen van SOC-medewerkers (CERT, informatiebeveiliging etc.) is erop gericht te voorkomen dat indringers toegang krijgen tot beschermde informatiebronnen.

Als aanvallers de beschermde infrastructuur binnendringen, moeten bovengenoemde personen proberen de schade als gevolg van de activiteiten van de aanvallers tot een minimum te beperken, bepalen hoe de aanval is uitgevoerd, de gebeurtenissen en volgorde van acties van de aanvallers reconstrueren in de gecompromitteerde informatiestructuur, en maatregelen om dit soort aanvallen in de toekomst te voorkomen.

In een gecompromitteerde informatie-infrastructuur kunnen de volgende soorten sporen worden aangetroffen, die erop wijzen dat het netwerk (computer) is gecompromitteerd:

Al dergelijke sporen kunnen worden gevonden met behulp van het Belkasoft Evidence Center-programma.

BEC beschikt over een module ‘Incident Investigation’, waarin bij het analyseren van opslagmedia informatie over artefacten wordt geplaatst die de onderzoeker kan helpen bij het onderzoeken van incidenten.

BEC ondersteunt onderzoek van de belangrijkste typen Windows-artefacten die de uitvoering van uitvoerbare bestanden op het onderzochte systeem aangeven, waaronder Amcache-, Userassist-, Prefetch-, BAM/DAM-bestanden, Windows 10 tijdlijn,analyse van systeemgebeurtenissen.

Informatie over sporen die informatie bevatten over gebruikersacties in een gecompromitteerd systeem kunnen in de volgende vorm worden weergegeven:

Deze informatie omvat onder meer informatie over het uitvoeren van uitvoerbare bestanden:

Informatie over het uitvoeren van het bestand 'RDPWInst.exe'.

Informatie over de aanwezigheid van aanvallers in besmette systemen is te vinden in de opstartsleutels, services, geplande taken, aanmeldingsscripts, WMI, enz. van het Windows-register. Voorbeelden van het detecteren van informatie over aanvallers die aan het systeem zijn gekoppeld, zijn te zien in de volgende schermafbeeldingen:

Beperk het gebruik van de taakplanner door aanvallers te beperken door een taak te maken die een PowerShell-script uitvoert.

Aanvallers consolideren met behulp van Windows Management Instrumentation (WMI).

Aanvallers consolideren met behulp van het aanmeldingsscript.

De beweging van aanvallers over een gecompromitteerd computernetwerk kan bijvoorbeeld worden gedetecteerd door Windows-systeemlogboeken te analyseren (als de aanvallers de RDP-service gebruiken).

Informatie over gedetecteerde RDP-verbindingen.

Informatie over de bewegingen van aanvallers over het netwerk.

Zo kan Belkasoft Evidence Center onderzoekers helpen bij het identificeren van aangetaste computers in een aangevallen computernetwerk, bij het vinden van sporen van de lancering van malware, sporen van fixatie in het systeem en bewegingen over het netwerk, en andere sporen van aanvalleractiviteit op aangetaste computers.

Hoe u dergelijk onderzoek kunt uitvoeren en de hierboven beschreven artefacten kunt detecteren, wordt beschreven in de Belkasoft Incident Response Examination-training.

Cursusplan:

• Trends in cyberaanvallen. Technologieën, tools, doelen van aanvallers
• Gebruik van dreigingsmodellen om de tactieken, technieken en procedures van aanvallers te begrijpen
• Cyber-kill-keten
• Incidentresponsalgoritme: identificatie, lokalisatie, genereren van indicatoren, zoeken naar nieuwe geïnfecteerde knooppunten
• Analyse van Windows-systemen met behulp van BEC
• Detectie van methoden voor primaire infectie, netwerkverspreiding, consolidatie en netwerkactiviteit van malware met behulp van BEC
• Identificeer geïnfecteerde systemen en herstel de infectiegeschiedenis met behulp van BEC
• Praktische oefeningen

FAQWaar worden de cursussen gegeven?
De cursussen worden gegeven op het hoofdkantoor van Group-IB of op een externe locatie (opleidingscentrum). Het is mogelijk dat een trainer naar locaties met zakelijke klanten reist.

Wie geeft de lessen?
Trainers bij Group-IB zijn praktijkmensen met jarenlange ervaring in het uitvoeren van forensisch onderzoek, bedrijfsonderzoeken en het reageren op informatiebeveiligingsincidenten.

De kwalificaties van trainers worden bevestigd door talrijke internationale certificaten: GCFA, MCFE, ACE, EnCE, enz.

Onze trainers vinden gemakkelijk een gemeenschappelijke taal met het publiek en leggen zelfs de meest complexe onderwerpen duidelijk uit. Studenten leren veel relevante en interessante informatie over het onderzoeken van computerincidenten, methoden voor het identificeren en tegengaan van computeraanvallen, en verwerven echte praktische kennis die ze direct na het afstuderen kunnen toepassen.

Zullen de cursussen nuttige vaardigheden opleveren die geen verband houden met Belkasoft-producten, of zullen deze vaardigheden zonder deze software niet van toepassing zijn?
De tijdens de training verworven vaardigheden zullen nuttig zijn zonder gebruik te maken van Belkasoft-producten.

Wat is inbegrepen bij de eerste tests?

Primaire tests zijn een test van kennis van de basisbeginselen van computerforensisch onderzoek. Er zijn geen plannen om de kennis van Belkasoft- en Group-IB-producten te testen.

Waar kan ik informatie vinden over de opleidingen van het bedrijf?

Als onderdeel van educatieve cursussen leidt Group-IB specialisten op in incidentrespons, malwareonderzoek, cyberintelligentiespecialisten (Threat Intelligence), specialisten voor het Security Operation Center (SOC), specialisten in proactieve dreigingsjacht (Threat Hunter), enz. . Er is een volledige lijst met eigen cursussen van Group-IB beschikbaar hier.

Welke bonussen ontvangen studenten die gezamenlijke cursussen van Group-IB en Belkasoft voltooien?
Degenen die een training hebben gevolgd in gezamenlijke cursussen tussen Group-IB en Belkasoft, ontvangen:

1. certificaat van voltooiing van de cursus;
2. gratis maandelijks abonnement op Belkasoft Evidence Center;
3. 10% korting op de aankoop van Belkasoft Evidence Center.

Wij herinneren u eraan dat de eerste cursus begint op maandag, 9 september, - mis de kans niet om unieke kennis op te doen op het gebied van informatiebeveiliging, computerforensisch onderzoek en incidentrespons! Inschrijving voor de cursus hier.

bronnenBij het voorbereiden van het artikel hebben we gebruik gemaakt van de presentatie van Oleg Skulkin “Using host-based forensics to get indicators of compromis for Successful intelligence-driven incident response.”

Bron: www.habr.com