د معلوماتو امنیتي پیښو ته د ځواب ویلو لپاره الګوریتمونه او تاکتیکونه ، د اوسني سایبر بریدونو رجحانات ، په شرکتونو کې د ډیټا لیکونو تحقیق کولو طریقې ، د براوزرونو او ګرځنده وسیلو څیړنه ، د کوډ شوي فایلونو تحلیل ، د جیو ځای ډیټا استخراج او د ډیټا لوی مقدار تحلیلونه - دا ټول او نور موضوعات د ګروپ-IB او Belkasoft په نوي ګډ کورسونو کې مطالعه کیدی شي. په اګست کې موږ د بیلکاسافټ ډیجیټل فارنزیک لومړی کورس، چې د سپتمبر په 9 پیل کیږي، او د ډیرو پوښتنو په ترلاسه کولو سره، موږ پریکړه وکړه چې په دې اړه نور تفصیل سره خبرې وکړو چې زده کونکي به څه زده کړي، کوم پوهه، وړتیاوې او بونس (!) به د هغه چا لخوا ترلاسه شي. پای ته ورسیږئ. لومړی شیان لومړی.
دوه ټول په یو کې
د ګډ روزنیزو کورسونو د ترسره کولو نظر وروسته له هغه څرګند شو چې د ګروپ-IB کورس برخه اخیستونکو د یوې وسیلې په اړه پوښتنې پیل کړې چې دوی سره به د کمپیوټري سیسټمونو او شبکو په څیړلو کې مرسته وکړي، او د مختلفو وړیا اسانتیاوو فعالیت سره یوځای کړي چې موږ یې د پیښې غبرګون په وخت کې کارولو وړاندیز کوو.
زموږ په اند، دا ډول وسیله کیدای شي د بیلکاسافټ شواهدو مرکز وي (موږ دمخه په دې اړه خبرې کړې دي ایګور میخیلوف "د پیل لپاره کلیدي: د کمپیوټر فارنزیک لپاره غوره سافټویر او هارډویر"). له همدې امله، موږ، د Belkasoft سره یوځای، دوه روزنیز کورسونه جوړ کړل: بیلکاسافټ ډیجیټل فارنزیک и د بیلکاسافټ پیښې ځواب ازموینه.
مهم: کورسونه ترتیب او یو بل سره تړلي دي! د بیلکاسافټ ډیجیټل فارنزیک د بیلکاسافټ شواهدو مرکز برنامې ته وقف شوی ، او د بیلکاسافټ پیښې غبرګون ازموینه د بیلکاسافټ محصولاتو په کارولو سره د پیښو تحقیق کولو ته وقف شوې. دا ، د بیلکاسافټ پیښې ځواب ازموینې کورس مطالعې دمخه ، موږ په کلکه وړاندیز کوو چې د بیلکاسافټ ډیجیټل فارنزیک کورس بشپړ کړئ. که تاسو سمدلاسه د پیښې تحقیقاتو کورس سره پیل کړئ ، نو زده کونکی ممکن د بیلکاسافټ شواهدو مرکز کارولو ، د عدلي اثارو موندلو او معاینه کولو کې د پوهاوي تشې ولري. دا ممکن د دې حقیقت لامل شي چې د بیلکاسافټ پیښې ځواب ازموینې کورس کې د روزنې پرمهال ، زده کونکي به یا د موادو ماسټر کولو لپاره وخت ونه لري ، یا به د نوي پوهې په ترلاسه کولو کې د ډلې پاتې برخه ورو کړي ، ځکه چې د روزنې وخت به مصرف شي. د روزونکي لخوا د بیلکاسافټ ډیجیټل فارنزیک کورس څخه مواد تشریح کوي.
د بیلکاسافټ شواهدو مرکز سره د کمپیوټر عدلي طب
د کورس موخه بیلکاسافټ ډیجیټل فارنزیک - زده کونکي د بیلکاسافټ شواهدو مرکز برنامې ته معرفي کړئ ، دوی ته د دې برنامې کارولو لپاره درس ورکړئ چې د مختلف سرچینو څخه شواهد راټول کړي (د کلاوډ ذخیره ، تصادفي لاسرسي حافظه (RAM) ، ګرځنده وسایل ، د ذخیره کولو میډیا (هارډ ډرایو ، فلش ډرایو او نور) ، ماسټر بنسټیز عدلي تخنیکونه او تخنیکونه، د وینډوز هنري اثارو د عدلي معایناتو میتودونه، ګرځنده وسایل، RAM ډمپونه. تاسو به د براوزرونو او فوري پیغام رسولو پروګرامونو آثارو پیژندل او مستند کول هم زده کړئ، د مختلفو سرچینو څخه د معلوماتو عدلي کاپي جوړ کړئ، د جیو ځای ډیټا استخراج او لټون وکړئ. د متن ترتیبونو لپاره (د کلیدي کلمې لټون)، د څیړنې ترسره کولو په وخت کې هشونه وکاروئ، د وینډوز راجستر تحلیل کړئ، د نامعلوم SQLite ډیټابیسونو سپړلو مهارتونو کې ماسټر کړئ، د ګرافیک او ویډیو فایلونو معاینه کولو اساسات، او د تحقیقاتو په جریان کې کارول شوي تحلیلي تخنیکونه.
دا کورس به د متخصصینو لپاره ګټور وي چې د کمپیوټر تخنیکي عدلي (کمپیوټر فارنزیک) په برخه کې تخصص لري. تخنیکي متخصصین چې د بریالي مداخلې لاملونه ټاکي، د پیښو سلسله او د سایبر بریدونو پایلې تحلیلوي؛ تخنیکي متخصصین د داخلي (داخلي سرغړونکي) لخوا د معلوماتو غلا (لیک) پیژندل او مستند کول؛ د برېښنايي کشف متخصصین؛ SOC او CERT/CSIRT کارکوونکي؛ د معلوماتو امنیت کارکوونکي؛ د کمپیوټر فارنزیک مینه وال.
د کورس پلان:
- Belkasoft شواهد مرکز (BEC): لومړی ګامونه
- په BEC کې د قضیو جوړول او پروسس کول
- د BEC سره د عدلي تحقیقاتو لپاره ډیجیټل شواهد راټول کړئ
- د فلټرونو کارول
- راپورونه جوړول
- د فوري پیغام رسولو پروګرامونو څیړنه
- د ویب براوزر څیړنه
- د ګرځنده وسیلو څیړنه
- د جیولیکیشن ډیټا استخراج
- په قضیو کې د متن ترتیبونو لټون
- د بادل ذخیره کولو څخه د معلوماتو استخراج او تحلیل
- د څیړنې په جریان کې موندل شوي د پام وړ شواهدو روښانه کولو لپاره د بک مارکونو کارول
- د وینډوز سیسټم فایلونو معاینه کول
- د وینډوز راجستر تحلیل
- د SQLite ډیټابیسونو تحلیل
- د معلوماتو د بیرته راګرځولو میتودونه
- د رام ډمپونو معاینه کولو تخنیکونه
- په عدلي څیړنه کې د هش کیلکولیټر او هش تحلیل کارول
- د کوډ شوي فایلونو تحلیل
- د ګرافیک او ویډیو فایلونو مطالعې لپاره میتودونه
- په عدلي څیړنه کې د تحلیلي تخنیکونو کارول
- د جوړ شوي Belkascripts پروګرام کولو ژبې په کارولو سره د معمول کړنې اتومات کړئ
- عملي درسونه
کورس: د بیلکاسافټ پیښې ځواب ازموینه
د کورس هدف د سایبر بریدونو د عدلي تحقیقاتو اساساتو او په تحقیق کې د بیلکاسافټ شواهدو مرکز کارولو امکانات زده کول دي. تاسو به په کمپیوټري شبکو کې د عصري بریدونو اصلي ویکتورونو په اړه زده کړه وکړئ، د MITER ATT&CK میټریکس پراساس د کمپیوټر بریدونو طبقه بندي کول زده کړئ، د عملیاتي سیسټم څیړنې الګوریتم پلي کړئ ترڅو د جوړجاړي حقیقت رامینځته کړي او د برید کونکو عملونه بیا جوړ کړي، زده کړئ چې آثار چیرته دي. په ګوته کړئ چې کوم فایلونه وروستی پرانستل شوي، چیرته چې عملیاتي سیسټم د دې په اړه معلومات ذخیره کوي چې څنګه د اجرا وړ فایلونه ډاونلوډ او اجرا شوي، څنګه برید کونکي په ټوله شبکه کې لیږدول شوي، او د BEC په کارولو سره د دې آثارو معاینه کول زده کړئ. تاسو به دا هم زده کړئ چې د سیسټم لاګونو کې کومې پیښې د پیښې تفتیش او د لرې لاسرسي کشف له نظره د علاقې وړ دي ، او د BEC په کارولو سره د دوی تحقیق کولو څرنګوالی زده کړئ.
کورس به د تخنیکي متخصصینو لپاره ګټور وي څوک چې د بریالي مداخلې لاملونه ټاکي، د پیښو سلسله او د سایبر بریدونو پایلې تحلیل کړي؛ د سیسټم مدیران؛ SOC او CERT/CSIRT کارکوونکي؛ د معلوماتو امنیت کارکونکي.
د کورس عمومي کتنه
د سایبر وژنې سلسله د قرباني کمپیوټرونو (یا کمپیوټر شبکې) باندې د تخنیکي برید اصلي مرحلې په لاندې ډول بیانوي:
د SOC کارمندانو کړنې (CERT، د معلوماتو امنیت، او نور) موخه دا ده چې د خوندي معلوماتو سرچینو ته د لاسرسۍ څخه د مداخلې مخه ونیسي.
که چیرې بریدګر خوندي زیربنا ته ننوځي، نو پورتني اشخاص باید هڅه وکړي چې د برید کونکو فعالیتونو څخه زیانونه راکم کړي، معلومه کړي چې برید څنګه ترسره شوی، د معلوماتو په جوړ شوي جوړښت کې د پیښو او د برید کونکو د کړنو لړۍ بیا رغول، او د برید کوونکو د فعالیتونو لړۍ. په راتلونکي کې د دې ډول بریدونو د مخنیوي لپاره اقدامات.
لاندې ډول نښې نښانې د معلوماتو په جوړ شوي زیربنا کې موندل کیدی شي، دا په ګوته کوي چې شبکه (کمپیوټر) سره جوړجاړی شوی دی:
دا ډول ټولې نښې د Belkasoft Evidence Center پروګرام په کارولو سره موندل کیدی شي.
BEC د "پیښو تحقیقات" ماډل لري، چیرې چې د ذخیره کولو رسنیو تحلیل کولو په وخت کې، د اثارو په اړه معلومات ځای پر ځای کیږي چې کولی شي د څیړونکي سره د پیښو په څیړلو کې مرسته وکړي.
BEC د وینډوز آثارو اصلي ډولونو ازموینې ملاتړ کوي چې د تفتیش لاندې سیسټم کې د اجرا وړ فایلونو اجرا په ګوته کوي ، پشمول د امکاچ ، یوزراسیسټ ، پریفیچ ، BAM/DAM فایلونه ، د سیسټم پیښو تحلیل.
د نښو په اړه معلومات چې په جوړ شوي سیسټم کې د کارونکي کړنو په اړه معلومات لري په لاندې شکل کې وړاندې کیدی شي:
دا معلومات، د نورو شیانو په منځ کې، د اجرا وړ فایلونو چلولو په اړه معلومات شامل دي:
د 'RDPWInst.exe' فایل چلولو په اړه معلومات.
په جوړ شوي سیسټمونو کې د برید کونکو شتون په اړه معلومات د وینډوز راجسټری پیل کولو کیلي ، خدماتو ، مهالویش شوي دندې ، د لوګون سکریپټونو ، WMI او داسې نورو کې موندل کیدی شي. په سیسټم کې د برید کونکو په اړه د معلوماتو موندلو مثالونه په لاندې سکرین شاټونو کې لیدل کیدی شي:
د ټاسک شیډولر په کارولو سره د داسې ټاسک رامینځته کولو سره د برید کونکو محدودول چې د پاور شیل سکریپټ پرمخ وړي.
د وینډوز مدیریت وسیلو (WMI) په کارولو سره د برید کونکو قوي کول.
د لوګون سکریپټ په کارولو سره د برید کونکو راټولول.
د جوړ شوي کمپیوټر شبکې په اوږدو کې د برید کونکو حرکت کشف کیدی شي ، د مثال په توګه ، د وینډوز سیسټم لاګونو تحلیل کولو سره (که برید کونکي د RDP خدمت کاروي).
د کشف شوي RDP ارتباطاتو په اړه معلومات.
په ټوله شبکه کې د برید کوونکو د حرکت په اړه معلومات.
په دې توګه، د بیلکاسافټ شواهدو مرکز کولی شي له څیړونکو سره مرسته وکړي چې په برید شوي کمپیوټر شبکه کې جوړ شوي کمپیوټرونه وپیژني، د مالویر د پیل نښې ومومي، په سیسټم کې د فکسیشن نښې او په ټوله شبکه کې حرکت، او په جوړ شوي کمپیوټرونو کې د برید کونکي فعالیت نور نښې.
د دې ډول څیړنو ترسره کولو څرنګوالی او پورته بیان شوي اثار کشف کول د بیلکاسافټ پیښې ځواب ازموینې روزنې کورس کې تشریح شوي.
د کورس پلان:
- د سایبري برید رجحانات. ټیکنالوژي، وسایل، د برید کونکو اهداف
- د برید کونکي تاکتیکونو، تخنیکونو او پروسیجرونو د پوهیدو لپاره د ګواښ ماډلونو کارول
- د سایبر وژنې سلسله
- د پیښې غبرګون الګوریتم: پیژندنه، ځایی کول، د شاخصونو تولید، د نوي اخته شوي نوډونو لټون
- د BEC په کارولو سره د وینډوز سیسټمونو تحلیل
- د BEC په کارولو سره د لومړني انفیکشن میتودونو کشف، د شبکې خپریدل، یوځای کول، او د مالویر شبکې فعالیت
- د اخته شوي سیسټمونو پیژندل او د BEC په کارولو سره د انفیکشن تاریخ بیرته راګرځول
- عملي درسونه
FAQsکورسونه چیرته ترسره کیږي؟
کورسونه د ګروپ-IB په مرکزي دفتر کې یا په بهرني سایټ (روزنیز مرکز) کې ترسره کیږي. دا د روزونکي لپاره ممکنه ده چې د شرکتونو پیرودونکو سره سایټونو ته سفر وکړي.
څوک ټولګي ترسره کوي؟
په ګروپ-IB کې روزونکي هغه تمرین کونکي دي چې د عدلي څیړنو، کارپوریټ تحقیقاتو ترسره کولو او د معلوماتو امنیتي پیښو ته ځواب ویلو کې د ډیرو کلونو تجربه لري.
د روزونکو وړتیا د ډیری نړیوالو سندونو لخوا تایید شوي: GCFA، MCFE، ACE، EnCE، او نور.
زموږ روزونکي په اسانۍ سره د لیدونکو سره ګډه ژبه پیدا کوي، حتی خورا پیچلي موضوعات په روښانه توګه تشریح کوي. زده کوونکي به د کمپيوټري پېښو د څېړلو، د کمپيوټر د بريدونو د پيژندلو او مخنيوي د لارو چارو په اړه ډېر اړوند او په زړه پورې معلومات زده کړي، او رښتينې عملي پوهه به تر لاسه کړي چې له فراغت وروسته سمدلاسه يې غوښتنه وکړي.
ایا کورسونه به ګټور مهارتونه چمتو کړي چې د Belkasoft محصولاتو پورې تړاو نلري، یا ایا دا مهارتونه به د دې سافټویر پرته د تطبیق وړ نه وي؟
د روزنې په جریان کې ترلاسه شوي مهارتونه به د Belkasoft محصولاتو کارولو پرته ګټور وي.
په ابتدايي ازموینه کې څه شامل دي؟
لومړنۍ ازموینه د کمپیوټر فارنزیک اساساتو د پوهې ازموینه ده. د Belkasoft او Group-IB محصولاتو په اړه د پوهې ازموینې لپاره هیڅ پالن نشته.
زه د شرکت د تعلیمي کورسونو په اړه چیرته معلومات ترلاسه کولی شم؟
د تعلیمي کورسونو د یوې برخې په توګه، ګروپ-IB د پیښو په غبرګون کې متخصصین روزي، د مالویر څیړنې، د سایبر استخباراتو متخصصین (د ګواښ استخبارات)، متخصصین چې د امنیت عملیاتي مرکز (SOC) کې کار کوي، د فعال ګواښ ښکار متخصصین (د ګواښ ښکار) او داسې نور. . د ګروپ-IB څخه د ملکیت کورسونو بشپړ لیست شتون لري .
هغه زده کونکي چې د ګروپ-IB او Belkasoft ترمنځ ګډ کورسونه بشپړوي کوم بونس ترلاسه کوي؟
هغه کسان چې د ګروپ-IB او Belkasoft تر منځ په ګډ کورسونو کې روزنه بشپړه کړې وي:
- د کورس د بشپړولو سند؛
- د بیلکاسافټ شواهدو مرکز ته وړیا میاشتنۍ ګډون؛
- د بیلکاسافټ شواهدو مرکز پیرود باندې 10٪ تخفیف.
موږ تاسو ته یادونه کوو چې لومړی کورس د دوشنبې په ورځ پیل کیږي، 9 سپتمبر، - د معلوماتو امنیت ، کمپیوټر فارنزیک او د پیښې غبرګون په برخه کې د ځانګړې پوهې ترلاسه کولو فرصت له لاسه مه ورکوئ! د کورس لپاره نوم لیکنه .
سرچینېد مقالې په چمتو کولو کې، موږ د Oleg Skulkin لخوا پریزنټشن کارولی و "د کوربه پر بنسټ عدلي تعقیب کارول ترڅو د بریالي استخباراتو لخوا د پیښې ځواب لپاره د جوړجاړي شاخصونه ترلاسه کړي."
سرچینه: www.habr.com