Grup-IB ve Belkasoft'un ortak kursları: Ne öğreteceğiz ve kimler gelecek

Bilgi güvenliği olaylarına müdahale etmeye yönelik algoritmalar ve taktikler, mevcut siber saldırılardaki eğilimler, şirketlerdeki veri sızıntılarını araştırmaya yönelik yaklaşımlar, tarayıcıları ve mobil cihazları araştırmak, şifrelenmiş dosyaları analiz etmek, coğrafi konum verilerini çıkarmak ve büyük hacimli verilerin analitiği - tüm bunlar ve diğer konular Grup-IB ve Belkasoft'un yeni ortak dersleri üzerinde çalışılabilir. Ağustos ayında biz açıkladı 9 Eylül'de başlayacak olan ilk Belkasoft Dijital Adli Bilimler kursunda çok sayıda soru aldıktan sonra öğrencilerin neleri okuyacaklarını, hangi bilgi, yetkinlikleri ve bonusları (!) alacaklarını daha detaylı konuşmaya karar verdik. sonuna ulaşmak. Her şey sırayla.

İkisi Bir Arada

Ortak eğitim kursları düzenleme fikri, Grup-IB kursu katılımcılarının, güvenliği ihlal edilmiş bilgisayar sistemlerini ve ağlarını araştırmada kendilerine yardımcı olacak ve olaya müdahale sırasında kullanılmasını önerdiğimiz çeşitli ücretsiz yardımcı programların işlevlerini birleştirecek bir araç hakkında soru sormaya başlamasından sonra ortaya çıktı.

Bizce böyle bir araç Belkasoft Kanıt Merkezi olabilir (daha önce bundan bahsetmiştik). Makale Igor Mikhailov "Başlangıç ​​anahtarı: bilgisayar adli tıp için en iyi yazılım ve donanım"). Bu nedenle Belkasoft ile birlikte iki eğitim kursu geliştirdik: Belkasoft Dijital Adli Bilişim и Belkasoft Olay Müdahale Sınavı.

ÖNEMLİ: kurslar sıralıdır ve birbiriyle bağlantılıdır! Belkasoft Dijital Adli Bilimler, Belkasoft Kanıt Merkezi programına, Belkasoft Olay Müdahale İncelemesi ise Belkasoft ürünlerini kullanan olayların araştırılmasına adanmıştır. Yani Belkasoft Olay Müdahale Sınavı kursuna başlamadan önce Belkasoft Dijital Adli Bilimler kursunu tamamlamanızı şiddetle tavsiye ederiz. Olay araştırmaları üzerine bir kursla hemen başlarsanız, öğrenci Belkasoft Kanıt Merkezi'ni kullanma, adli eserleri bulma ve inceleme konusunda can sıkıcı bilgi boşlukları yaşayabilir. Bu, Belkasoft Olay Müdahale Sınavı kursunda eğitim sırasında öğrencinin ya materyale hakim olmak için zamanının olmayacağına ya da eğitim süresi harcanacağından grubun geri kalanının yeni bilgi edinme konusunda yavaşlamasına neden olabilir. Belkasoft Dijital Adli Bilimler kursunun materyallerini açıklayan eğitmen tarafından.

Belkasoft Kanıt Merkezi ile bilgisayar adli tıp

Kursun amacı Belkasoft Dijital Adli Bilişim — öğrencilere Belkasoft Kanıt Merkezi programını tanıtın, onlara bu programı çeşitli kaynaklardan (bulut depolama, rastgele erişim belleği (RAM), mobil cihazlar, depolama ortamlarından (sabit sürücüler, flash sürücüler vb.), ana kaynaklardan kanıt toplamak için kullanmayı öğretin) temel adli tıp teknikleri ve teknikleri, Windows eserlerinin, mobil cihazların, RAM dökümlerinin adli inceleme yöntemleri. Ayrıca tarayıcıların ve anlık mesajlaşma programlarının eserlerini tanımlamayı ve belgelemeyi, çeşitli kaynaklardan verilerin adli kopyalarını oluşturmayı, coğrafi konum verilerini çıkarmayı ve arama yapmayı öğreneceksiniz. metin dizileri için (anahtar kelimelere göre arama), araştırma yaparken karmaları kullanın, Windows kayıt defterini analiz edin, bilinmeyen SQLite veritabanlarını keşfetme becerilerinde uzmanlaşın, grafik ve video dosyalarını incelemenin temelleri ve araştırmalar sırasında kullanılan analitik teknikler.

Kurs, bilgisayar teknik adli tıp (bilgisayar adli tıp) alanında uzmanlaşan uzmanlara faydalı olacaktır; Başarılı bir izinsiz girişin nedenlerini belirleyen, olaylar zincirini ve siber saldırıların sonuçlarını analiz eden teknik uzmanlar; içeriden birinin (dahili ihlalci) yaptığı veri hırsızlığını (sızıntılarını) tespit eden ve belgeleyen teknik uzmanlar; e-Keşif uzmanları; SOC ve CERT/CSIRT personeli; bilgi güvenliği çalışanları; bilgisayar adli tıp meraklıları.

Kurs planı:

• Belkasoft Kanıt Merkezi (BEC): ilk adımlar
• BEC'de vakaların oluşturulması ve işlenmesi
• BEC ile adli soruşturmalar için dijital kanıt toplayın

• Filtreleri kullanma
• Raporlama
• Anlık Mesajlaşma Programları Araştırması

• Web Tarayıcı Araştırması

• Mobil Cihaz Araştırması
• Coğrafi konum verilerini çıkarma

• Vakalarda metin dizilerini arama
• Bulut depolarından veri çıkarma ve analiz etme
• Araştırma sırasında bulunan önemli kanıtları vurgulamak için yer imlerini kullanma
• Windows sistem dosyalarının incelenmesi

• Windows Kayıt Defteri Analizi
• SQLite veritabanlarının analizi

• Veri Kurtarma Yöntemleri
• RAM dökümlerini inceleme teknikleri
• Adli araştırmalarda hash hesaplayıcı ve hash analizinin kullanılması
• Şifrelenmiş dosyaların analizi
• Grafik ve video dosyalarını inceleme yöntemleri
• Adli araştırmalarda analitik tekniklerin kullanımı
• Yerleşik Belkascripts programlama dilini kullanarak rutin eylemleri otomatikleştirin

• pratik alıştırmalar

Kurs: Belkasoft Olay Müdahale Sınavı

Dersin amacı siber saldırılara yönelik adli soruşturmanın temellerini ve Belkasoft Kanıt Merkezi'nin bir soruşturmada kullanılma olanaklarını öğrenmektir. Bilgisayar ağlarına yapılan modern saldırıların ana vektörlerini öğrenecek, bilgisayar saldırılarını MITRE ATT&CK matrisine göre sınıflandırmayı öğrenecek, uzlaşma gerçeğini belirlemek ve saldırganların eylemlerini yeniden yapılandırmak için işletim sistemi araştırma algoritmalarını uygulayacak, saldırıların nerede bulunduğunu öğreneceksiniz. En son hangi dosyaların açıldığını, işletim sisteminin yürütülebilir dosyaların nasıl indirildiği ve yürütüldüğü, saldırganların ağ üzerinde nasıl hareket ettiği hakkındaki bilgileri nerede sakladığını belirtin ve BEC kullanarak bu yapıtları nasıl inceleyeceğinizi öğrenin. Ayrıca olay araştırması ve uzaktan erişim tespiti açısından sistem günlüklerindeki hangi olayların ilgi çekici olduğunu ve bunları BEC kullanarak nasıl araştıracağınızı öğreneceksiniz.

Kurs, başarılı bir izinsiz girişin nedenlerini belirleyen, olay zincirlerini ve siber saldırıların sonuçlarını analiz eden teknik uzmanlara faydalı olacaktır; sistem yöneticileri; SOC ve CERT/CSIRT personeli; bilgi güvenliği personeli.

Kursa Genel Bakış

Siber Öldürme Zinciri, kurbanın bilgisayarlarına (veya bilgisayar ağına) yapılacak herhangi bir teknik saldırının ana aşamalarını şu şekilde açıklamaktadır:

SOC çalışanlarının eylemleri (CERT, bilgi güvenliği vb.) davetsiz misafirlerin korunan bilgi kaynaklarına erişmesini önlemeyi amaçlamaktadır.

Saldırganlar korunan altyapıya girerse, yukarıda belirtilen kişiler saldırganların faaliyetlerinden kaynaklanan zararı en aza indirmeye çalışmalı, saldırının nasıl gerçekleştirildiğini belirlemeli, ele geçirilen bilgi yapısında saldırganların olaylarını ve eylem sırasını yeniden yapılandırmalı ve gerekli önlemleri almalıdır. gelecekte bu tür saldırıları önlemek için önlemler.

Güvenliği ihlal edilmiş bir bilgi altyapısında, ağın (bilgisayarın) güvenliğinin ihlal edildiğini gösteren aşağıdaki türde izler bulunabilir:

Tüm bu izler Belkasoft Kanıt Merkezi programı kullanılarak bulunabilir.

BEC, depolama ortamını analiz ederken, araştırmacıya olayları araştırırken yardımcı olabilecek eserler hakkındaki bilgilerin yerleştirildiği bir "Olay Araştırması" modülüne sahiptir.

BEC, Amcache, Userassist, Prefetch, BAM/DAM dosyaları dahil olmak üzere, incelenen sistemdeki yürütülebilir dosyaların yürütülmesini gösteren ana Windows yapıtlarının incelenmesini destekler. Windows 10 Zaman Çizelgesi, sistem olaylarının analizi.

Güvenliği ihlal edilmiş bir sistemdeki kullanıcı eylemlerine ilişkin bilgileri içeren izlere ilişkin bilgiler aşağıdaki biçimde sunulabilir:

Bu bilgiler, diğer şeylerin yanı sıra yürütülebilir dosyaların çalıştırılmasına ilişkin bilgileri içerir:

'RDPWInst.exe' dosyasını çalıştırma hakkında bilgi.

Saldırganların ele geçirilen sistemlerdeki varlığına ilişkin bilgiler, Windows kayıt defteri başlangıç ​​anahtarlarında, hizmetlerinde, zamanlanmış görevlerinde, Oturum açma komut dosyalarında, WMI'da vb. bulunabilir. Sisteme bağlanan saldırganlara ilişkin bilgilerin tespit edilmesine ilişkin örnekler aşağıdaki ekran görüntülerinde görülebilir:

PowerShell betiğini çalıştıran bir görev oluşturarak saldırganların görev zamanlayıcıyı kullanmasını kısıtlama.

Saldırganları Windows Yönetim Araçları (WMI) kullanarak birleştirmek.

Saldırganları Oturum Açma komut dosyası kullanarak birleştirmek.

Saldırganların ele geçirilen bir bilgisayar ağı üzerindeki hareketi, örneğin Windows sistem günlükleri analiz edilerek (saldırganlar RDP hizmetini kullanıyorsa) tespit edilebilir.

Algılanan RDP bağlantıları hakkında bilgi.

Saldırganların ağdaki hareketi hakkında bilgi.

Böylece Belkasoft Kanıt Merkezi, araştırmacıların saldırıya uğrayan bir bilgisayar ağındaki güvenliği ihlal edilmiş bilgisayarları tanımlamasına, kötü amaçlı yazılım başlatılmasının izlerini, sistemdeki sabitlenme izlerini ve ağ üzerindeki hareketin izlerini ve güvenliği ihlal edilmiş bilgisayarlarda saldırgan etkinliğinin diğer izlerini bulmasına yardımcı olabilir.

Bu tür bir araştırmanın nasıl yapılacağı ve yukarıda açıklanan eserlerin tespitinin nasıl yapılacağı Belkasoft Olay Müdahale İncelemesi eğitim kursunda anlatılmaktadır.

Kurs planı:

• Siber saldırı eğilimleri. Saldırganların teknolojileri, araçları ve hedefleri
• Saldırganın taktiklerini, tekniklerini ve prosedürlerini anlamak için tehdit modellerini kullanma
• Siber öldürme zinciri
• Olay müdahale algoritması: tanımlama, yerelleştirme, göstergelerin oluşturulması, yeni virüslü düğümlerin aranması
• BEC kullanarak Windows sistemlerinin analizi
• BEC kullanarak kötü amaçlı yazılımın birincil bulaşma, ağa yayılma, birleştirme ve ağ etkinliği yöntemlerinin tespiti
• BEC'yi kullanarak virüslü sistemleri tanımlayın ve enfeksiyon geçmişini geri yükleyin
• pratik alıştırmalar

SSSKurslar nerede yapılıyor?
Kurslar Grup-IB genel merkezinde veya harici bir tesiste (eğitim merkezi) yapılır. Bir eğitmenin kurumsal müşterilerin bulunduğu sitelere seyahat etmesi mümkündür.

Dersleri kim yönetiyor?
Group-IB'deki eğitmenler, adli araştırma, kurumsal soruşturma yürütme ve bilgi güvenliği olaylarına müdahale etme konusunda uzun yıllara dayanan deneyime sahip uygulayıcılardır.

Eğitmenlerin nitelikleri çok sayıda uluslararası sertifika ile onaylanmaktadır: GCFA, MCFE, ACE, EnCE, vb.

Eğitmenlerimiz dinleyicilerle kolayca ortak bir dil bularak en karmaşık konuları bile net bir şekilde anlatmaktadır. Öğrenciler bilgisayar olaylarının araştırılması, bilgisayar saldırılarını belirleme ve bunlara karşı koyma yöntemleri hakkında birçok ilgili ve ilginç bilgi öğrenecek ve mezun olduktan hemen sonra uygulayabilecekleri gerçek pratik bilgiler kazanacaklar.

Kurslarda Belkasoft ürünleriyle ilgili olmayan faydalı beceriler mi sağlanacak, yoksa bu beceriler bu yazılım olmadan uygulanamayacak mı?
Eğitim sırasında edinilen beceriler Belkasoft ürünlerini kullanmadan da işinize yarayacaktır.

İlk teste neler dahildir?

Birincil test, bilgisayar adli biliminin temellerine ilişkin bilgi testidir. Belkasoft ve Grup-IB ürünlerine ilişkin bilginin test edilmesine yönelik bir plan bulunmamaktadır.

Şirketin eğitim kursları hakkında nereden bilgi bulabilirim?

Eğitim kurslarının bir parçası olarak Group-IB, olaylara müdahale, kötü amaçlı yazılım araştırması, siber istihbarat uzmanları (Tehdit İstihbaratı), Güvenlik Operasyon Merkezi'nde (SOC) çalışacak uzmanlar, proaktif tehdit avcılığı (Tehdit Avcısı) vb. konularda uzmanlar yetiştirir. . Grup-IB'nin özel derslerinin tam listesi mevcuttur burada.

Grup-IB ile Belkasoft'un ortak derslerini tamamlayan öğrenciler ne gibi bonuslar alıyor?
Grup-IB ile Belkasoft arasındaki ortak kurslarda eğitimleri tamamlayanlar:

1. kursu tamamlama sertifikası;
2. Belkasoft Kanıt Merkezi'ne ücretsiz aylık abonelik;
3. Belkasoft Kanıt Merkezi satın alımında %10 indirim.

İlk kursun Pazartesi günü başlayacağını hatırlatırız. 9 Eylül, - bilgi güvenliği, bilgisayar adli tıp ve olaylara müdahale alanında benzersiz bilgi edinme fırsatını kaçırmayın! Kursa kayıt burada.

kaynaklarMakaleyi hazırlarken Oleg Skulkin'in "Başarılı istihbarat odaklı olay müdahalesi için uzlaşma göstergelerini elde etmek amacıyla ana bilgisayar tabanlı adli bilişimin kullanılması" sunumunu kullandık.

Kaynak: habr.com