Алгоритмҳо ва тактикаи вокуниш ба ҳодисаҳои амнияти иттилоотӣ, тамоюлҳои ҳамлаҳои ҷории киберӣ, равишҳо барои таҳқиқи ихроҷи маълумот дар ширкатҳо, таҳқиқи браузерҳо ва дастгоҳҳои мобилӣ, таҳлили файлҳои рамзгузоришуда, истихроҷи маълумоти геологӣ ва таҳлили ҳаҷми бузурги додаҳо - ҳамаи ин ва дигар мавзӯъҳо дар курсҳои нави муштараки Group-IB ва Belkasoft омӯхтан мумкин аст. Дар мохи август мо аввалин курси криминалистии рақамии Belkasoft, ки 9 сентябр оғоз мешавад ва бо дарёфти шумораи зиёди саволҳо, мо тасмим гирифтем муфассалтар дар бораи он, ки донишҷӯён дар бораи чӣ таҳсил хоҳанд кард, аз ҷониби онҳое, ки чӣ гуна дониш, салоҳият ва мукофотпулӣ (!) мегиранд, сӯҳбат кунем. ба охир расед. Аввалин чизҳои аввал.
Ду Ҳама дар як
Идеяи баргузории курсҳои муштараки омӯзишӣ пас аз он пайдо шуд, ки иштирокчиёни курсҳои Group-IB дар бораи асбобе пурсиданд, ки ба онҳо дар таҳқиқи системаҳои компютерӣ ва шабакаҳои вайроншуда ва муттаҳид кардани функсияҳои гуногуни утилитаҳои ройгон, ки мо ҳангоми вокуниш ба ҳодисаҳо тавсия медиҳем, истифода баранд.
Ба андешаи мо, чунин восита метавонад Маркази Далелҳои Belkasoft бошад (мо дар ин бора аллакай дар Игор Михайлов «Калиди оғоз: беҳтарин нармафзор ва сахтафзор барои криминалистии компютерӣ»). Аз ин рӯ, мо дар якҷоягӣ бо Belkasoft ду курси омӯзишӣ таҳия кардем: Криминалистии рақамии Belkasoft и Санҷиши вокуниш ба ҳодисаҳои Belkasoft.
МУҲИМ: курсҳо пайдарпай ва бо ҳам алоқаманданд! Belkasoft Digital Forensics ба барномаи Маркази Далелҳои Belkasoft бахшида шудааст ва Санҷиши вокуниш ба ҳодисаҳои Belkasoft ба таҳқиқи ҳодисаҳо бо истифодаи маҳсулоти Belkasoft бахшида шудааст. Яъне, пеш аз омӯзиши курси имтиҳони вокуниш ба ҳодисаҳои Belkasoft, мо тавсия медиҳем, ки курси криминалистии рақамии Belkasoft-ро хатм кунем. Агар шумо фавран бо курси тафтишоти ҳодисаҳо оғоз кунед, донишҷӯ метавонад дар истифодаи Маркази Далелҳои Belkasoft, дарёфт ва тафтиши артефактҳои криминалистӣ камбудиҳои донишро дошта бошад. Ин метавонад ба он оварда расонад, ки ҳангоми омӯзиш дар курси имтиҳони вокуниш ба ҳодисаҳои Belkasoft, донишҷӯ ё барои аз худ кардани мавод вақт намеёбад ё боқимондаи гурӯҳро дар гирифтани донишҳои нав суст мекунад, зеро вақти омӯзиш сарф мешавад. аз ҷониби тренер шарҳ додани мавод аз курси криминалистии рақамии Belkasoft.
Криминалистии компютерӣ бо Маркази Далелҳои Belkasoft
Мақсади курс Криминалистии рақамии Belkasoft — донишҷӯёнро бо барномаи Belkasoft Evidence Center шинос кунед, ба онҳо таълим диҳед, ки ин барномаро барои ҷамъоварии далелҳо аз сарчашмаҳои гуногун (нигоҳдории абрӣ, хотираи дастрасии тасодуфӣ (RAM), дастгоҳҳои мобилӣ, васоити нигаҳдорӣ (дискҳои сахт, флеш-дискҳо ва ғайра) истифода баранд), усто усулҳо ва усулҳои асосии криминалистӣ, усулҳои экспертизаи криминалистии артефактҳои Windows, дастгоҳҳои мобилӣ, партовҳои хотираи оперативӣ. Шумо инчунин муайян кардан ва ҳуҷҷатгузории артефактҳои браузерҳо ва барномаҳои паёмнависии фаврӣ, эҷод кардани нусхаҳои криминалистии маълумот аз сарчашмаҳои гуногун, истихроҷи маълумоти геолокатсия ва ҷустуҷӯро меомӯзед. барои пайдарпайии матн (ҷустуҷӯ аз рӯи калимаҳои калидӣ), истифода аз хэшҳо ҳангоми гузаронидани тадқиқот, таҳлили феҳристи Windows, азхуд кардани малакаҳои омӯхтани базаҳои номаълуми SQLite, асосҳои санҷиши файлҳои графикӣ ва видеоӣ ва усулҳои таҳлилие, ки ҳангоми тафтишот истифода мешаванд.
Курс барои коршиносони тахассуси соҳаи криминалистии компютерӣ (криминалистии компютерӣ) муфид хоҳад буд; мутахассисони техникӣ, ки сабабҳои ҳамлаи муваффақро муайян мекунанд, силсилаи ҳодисаҳо ва оқибатҳои ҳамлаҳои кибериро таҳлил мекунанд; мутахассисони техникӣ, ки дуздии маълумотро аз ҷониби шахси инсайдер (вайронкунандаи дохилӣ) муайян ва ҳуҷҷатгузорӣ мекунанд; Мутахассисони e-Discovery; Кормандони SOC ва CERT/CSIRT; кормандони амнияти иттилоотӣ; дӯстдорони криминалистии компютерӣ.
Нақшаи курс:
- Маркази Далелҳои Belkasoft (BEC): қадамҳои аввал
- Эҷод ва коркарди парвандаҳо дар BEC
- Бо BEC далелҳои рақамиро барои тафтишоти судӣ ҷамъ кунед
- Истифодаи филтрҳо
- Таҳияи гузоришҳо
- Тадқиқот оид ба барномаҳои паёмнависии фаврӣ
- Тадқиқоти браузери веб
- Тадқиқоти дастгоҳи мобилӣ
- Истихроҷи маълумоти геологӣ
- Ҷустуҷӯи пайдарпайии матн дар ҳолатҳо
- Истеҳсол ва таҳлили маълумот аз анборҳои абрӣ
- Истифодаи хатчӯбҳо барои нишон додани далелҳои муҳиме, ки дар рафти тадқиқот пайдо шудаанд
- Баррасии файлҳои системаи Windows
- Таҳлили сабти Windows
- Таҳлили пойгоҳи додаҳои SQLite
- Усулҳои барқарорсозии маълумот
- Усулҳои санҷиши партовҳои RAM
- Истифодаи ҳисобкунаки hash ва таҳлили hash дар таҳқиқоти судӣ
- Таҳлили файлҳои шифршуда
- Усулҳои омӯзиши файлҳои графикӣ ва видеоӣ
- Истифодаи усулҳои таҳлилӣ дар таҳқиқоти криминалистӣ
- Бо истифода аз забони дарунсохти барномасозии Belkascripts амалҳои муқаррариро автоматӣ кунед
- Дарсҳои амалӣ
Курс: Санҷиши вокуниш ба ҳодисаҳои Belkasoft
Мақсади курс омӯхтани асосҳои тафтишоти криминалистии ҳамлаҳои киберӣ ва имкониятҳои истифодаи Маркази далелҳои Belkasoft дар тафтишот мебошад. Шумо дар бораи векторҳои асосии ҳамлаҳои муосир ба шабакаҳои компютерӣ меомӯзед, тасниф кардани ҳамлаҳои компютериро дар асоси матритсаи MITER ATT&CK меомӯзед, алгоритмҳои таҳқиқоти системаи оператсионӣ барои муайян кардани далели созиш ва аз нав сохтани амали ҳамлагарон, меомӯзед, ки артефактҳо дар куҷо ҷойгир шудаанд нишон диҳед, ки кадом файлҳо охирин кушода шудаанд, ки дар он системаи оператсионӣ маълумотро дар бораи чӣ гуна зеркашӣ ва иҷро шудани файлҳои иҷрошаванда, чӣ гуна ҳамлагарон дар тамоми шабака интиқол доданд ва тарзи тафтиш кардани ин артефактҳоро бо истифода аз BEC омӯзед. Шумо инчунин хоҳед фаҳмид, ки кадом рӯйдодҳо дар гузоришҳои система аз нуқтаи назари таҳқиқи ҳодисаҳо ва дарёфти дастрасии дурдаст таваҷҷӯҳ доранд ва чӣ гуна тафтиш кардани онҳоро бо истифода аз BEC меомӯзед.
Курс барои мутахассисони техникӣ муфид хоҳад буд, ки сабабҳои ҳамлаи муваффақро муайян мекунанд, занҷирҳои рӯйдодҳо ва оқибатҳои ҳамлаҳои кибериро таҳлил мекунанд; маъмурони система; Кормандони SOC ва CERT/CSIRT; кормандони амнияти иттилоотӣ.
Шарҳи курс
Cyber Kill Chain марҳилаҳои асосии ҳама гуна ҳамлаи техникиро ба компютерҳои ҷабрдида (ё шабакаи компютерӣ) чунин тавсиф мекунад:
Амалҳои кормандони СОК (CERT, амнияти иттилоотӣ ва ғ.) ба он нигаронида шудааст, ки вайронкорон аз дастрасӣ ба захираҳои иттилоотии ҳифзшаванда пешгирӣ карда шаванд.
Агар ҳамлагарон ба инфрасохтори муҳофизатшуда ворид шаванд, пас шахсони дар боло зикршуда бояд кӯшиш кунанд, ки зарари фаъолияти ҳамлагаронро ба ҳадди ақал расонанд, муайян кунанд, ки чӣ гуна ҳамла анҷом дода шудааст, ҳодисаҳо ва пайдарпайии амалҳои ҳамлагарон дар сохтори иттилоотии вайроншударо барқарор кунанд ва барои пешгирй кардани ин навъи хучум дар оянда чорахо дида шаванд.
Дар инфрасохтори иттилоотии вайроншуда намудҳои зерини пайҳоро пайдо кардан мумкин аст, ки нишон медиҳад, ки шабака (компютер) осеб дидааст:
Ҳамаи чунин пайраҳоро метавон бо истифода аз барномаи Belkasoft Evidence Center пайдо кард.
BEC дорои модули "Тадқиқоти ҳодисаҳо" мебошад, ки дар он ҳангоми таҳлили васоити нигаҳдорӣ маълумот дар бораи артефактҳо ҷойгир карда мешавад, ки метавонад ба тадқиқотчӣ ҳангоми таҳқиқи ҳодисаҳо кӯмак расонад.
BEC санҷиши намудҳои асосии артефактҳои Windows-ро дастгирӣ мекунад, ки иҷрои файлҳои иҷрошавандаро дар системаи тафтишот нишон медиҳанд, аз ҷумла Amcache, Userassist, Prefetch, BAM/DAM, ,таҳлили рӯйдодҳои система.
Маълумот дар бораи пайгирӣ, ки дорои маълумот дар бораи амалҳои корбар дар системаи вайроншуда метавонанд дар шакли зерин пешниҳод карда шаванд:
Ин маълумот, дар байни чизҳои дигар, маълумотро дар бораи иҷро кардани файлҳои иҷрошаванда дар бар мегирад:
Маълумот дар бораи иҷро кардани файли 'RDPWInst.exe'.
Маълумот дар бораи ҳузури ҳамлагарон дар системаҳои осебдида метавонад дар калидҳои оғози сабти Windows, хидматҳо, вазифаҳои ба нақша гирифташуда, скриптҳои Logon, WMI ва ғайра пайдо шавад. Намунаҳои ошкор кардани маълумот дар бораи ҳамлагароне, ки ба система пайваст мешаванд, дар скриншотҳои зерин дидан мумкин аст:
Маҳдуд кардани ҳамлагарон бо истифода аз нақшаи вазифаҳо тавассути сохтани вазифае, ки скрипти PowerShell-ро иҷро мекунад.
Якҷоя кардани ҳамлагарон бо истифода аз асбобҳои идоракунии Windows (WMI).
Якҷоя кардани ҳамлагарон бо истифода аз скрипти Logon.
Ҳаракати ҳамлагаронро дар шабакаи компютерии осебдида метавон тавассути таҳлили гузоришҳои системаи Windows (агар ҳамлагарон аз хидмати RDP истифода баранд) муайян кард.
Маълумот дар бораи пайвастҳои ошкоршудаи RDP.
Маълумот дар бораи ҳаракати ҳамлагарон дар саросари шабака.
Ҳамин тариқ, Маркази Далелҳои Belkasoft метавонад ба муҳаққиқон дар муайян кардани компютерҳои осебдида дар шабакаи компютерии ҳамлашуда, пайдо кардани осори оғози нармафзори зараровар, нишонаҳои сабт дар система ва ҳаракат дар саросари шабака ва дигар нишонаҳои фаъолияти ҳамлагарон дар компютерҳои осебдида кӯмак кунад.
Чӣ гуна гузаронидани чунин тадқиқот ва ошкор кардани артефактҳои дар боло тавсифшуда дар курси омӯзишии имтиҳони вокуниш ба ҳодисаҳои Belkasoft тавсиф шудааст.
Нақшаи курс:
- Тамоюлҳои ҳамлаҳои киберӣ. Технологияҳо, асбобҳо, ҳадафҳои ҳамлагарон
- Истифодаи моделҳои таҳдид барои фаҳмидани тактика, усулҳо ва тартиби ҳамлагарон
- Занҷираи куштори киберӣ
- Алгоритми вокуниш ба ҳодисаҳо: муайянсозӣ, маҳаллисозӣ, тавлиди нишондиҳандаҳо, ҷустуҷӯи гиреҳҳои нави сироятшуда
- Таҳлили системаҳои Windows бо истифода аз BEC
- Муайян кардани усулҳои сирояти ибтидоӣ, паҳншавии шабака, муттаҳидшавӣ ва фаъолияти шабакавии нармафзори зараровар бо истифода аз BEC
- Бо истифода аз BEC системаҳои сироятшударо муайян кунед ва таърихи сироятро барқарор кунед
- Дарсҳои амалӣ
Саволҳои зиёд такрормешудаКурсҳо дар куҷо гузаронида мешаванд?
Курсҳо дар қароргоҳи Group-IB ё дар макони беруна (маркази таълимӣ) гузаронида мешаванд. Мумкин аст, ки тренер ба сайтҳо бо муштариёни корпоративӣ сафар кунад.
Кӣ дарсҳоро мегузаронад?
Тренерони Group-IB таҷрибаомӯзоне мебошанд, ки таҷрибаи чандинсола дар гузаронидани тадқиқоти судӣ, тафтишоти корпоративӣ ва вокуниш ба ҳодисаҳои амнияти иттилоотӣ доранд.
Тахассуси тренерон бо сертификатҳои сершумори байналмилалӣ тасдиқ карда мешавад: GCFA, MCFE, ACE, EnCE ва ғайра.
Тренерони мо бо шунавандагон ба осонй забони умумй пайдо карда, хатто мавзуъхои мураккабтаринро равшан шарх медиханд. Донишҷӯён дар бораи таҳқиқи ҳодисаҳои компютерӣ, усулҳои муайян ва муқовимат ба ҳамлаҳои компютерӣ бисёр маълумоти муҳим ва ҷолибро меомӯзанд ва донишҳои воқеии амалиро мегиранд, ки онҳо метавонанд фавран пас аз хатми донишгоҳ татбиқ кунанд.
Оё курсҳо малакаҳои муфидеро пешниҳод мекунанд, ки ба маҳсулоти Belkasoft алоқаманд нестанд ё ин малакаҳо бе ин нармафзор корношоям хоҳанд буд?
Маҳоратҳое, ки дар давоми омӯзиш ба даст оварда шудаанд, бе истифодаи маҳсулоти Belkasoft муфид хоҳанд буд.
Ба санҷиши ибтидоӣ чӣ дохил мешавад?
Санҷиши ибтидоӣ санҷиши дониши асосҳои криминалистии компютерӣ мебошад. Санҷиши дониши маҳсулоти Belkasoft ва Group-IB пешбинӣ нашудааст.
Аз куҷо метавонам маълумотро дар бораи курсҳои таълимии ширкат пайдо кунам?
Дар доираи курсҳои таълимӣ, Group-IB мутахассисонро оид ба вокуниш ба ҳодисаҳо, тадқиқоти нармафзори зараровар, мутахассисони иктишофии киберӣ (Threat Intelligence), мутахассисон барои кор дар Маркази Амнияти Амният (SOC), мутахассисонро оид ба шикори пешакии таҳдидҳо (Threat Hunter) ва ғайра таълим медиҳад. . Рӯйхати пурраи курсҳои хусусии Group-IB дастрас аст .
Донишҷӯёне, ки курсҳои муштаракро байни Group-IB ва Belkasoft хатм мекунанд, чӣ гуна мукофотпулӣ мегиранд?
Онҳое, ки дар курсҳои муштараки Group-IB ва Belkasoft омӯзишро хатм кардаанд, мегиранд:
- шаҳодатномаи хатми курс;
- обунаи ҳармоҳа ройгон ба Маркази Далелҳои Belkasoft;
- 10% тахфиф дар хариди Маркази Далелҳои Belkasoft.
Хотиррасон мекунем, ки курси якум рӯзи душанбе оғоз мешавад, 9 сeptember, - имконияти гирифтани дониши беназир дар соҳаи амнияти иттилоотӣ, криминалистии компютерӣ ва вокуниш ба ҳодисаҳоро аз даст надиҳед! Бақайдгирӣ барои курс .
Манбаъҳои иттилоотҲангоми таҳияи мақола мо аз муаррифии Олег Скулкин истифода кардем "Истифодаи криминалистии мизбон барои ба даст овардани нишондиҳандаҳои созиш барои вокуниши бомуваффақияти ҳодисаҳои аз ҷониби иктишофӣ асосёфта."
Манбаъ: will.com