Спільні курси Group-IB та Belkasoft: чому навчимо і кому приходити

Алгоритми та тактика реагування на інциденти інформаційної безпеки, тенденції актуальних кібератак, підходи до розслідування витоків даних у компаніях, дослідження браузерів та мобільних пристроїв, аналіз зашифрованих файлів, вилучення даних про геолокацію та аналітика великих обсягів даних – усі ці та інші теми можна вивчити на нових спільних курсах Group-IB та Belkasoft. У серпні ми анонсували перший курс Belkasoft Digital Forensics, який стартує вже 9 вересня, і, отримавши велику кількість питань, вирішили докладніше розповісти про те, що вивчатимуть слухачі, які знання, компетенції та бонуси (!) отримають ті, хто дійде до кінця. Про все по порядку.

Два Все в одному

Ідея проведення спільних навчальних курсів з'явилася після того, як слухачі курсів Group-IB почали запитувати про інструмент, який би допомагав їм при дослідженні скомпрометованих комп'ютерних систем та мереж, та об'єднував у собі функціонал різних безкоштовних утиліт, які ми рекомендуємо використовувати під час реагування на інциденти .

На нашу думку, таким інструментом міг би бути Belkasoft Evidence Center (ми вже розповідали про нього у статті Ігоря Михайлова «Ключ на старт: найкращі програмні та апаратні засоби для комп'ютерної криміналістики»). Тому ми, спільно з компанією Belkasoft, розробили два навчальні курси: Belkasoft Digital Forensics и Belkasoft Incident Response Examination.

ВАЖЛИВО: курси є послідовними та взаємопов'язаними! Belkasoft Digital Forensics присвячений програмі Belkasoft Evidence Center, а Belkasoft Incident Response Examination – розслідуванню інцидентів за допомогою продуктів Belkasoft. Тобто перед вивченням курсу Belkasoft Incident Response Examination ми рекомендуємо пройти навчання за курсом Belkasoft Digital Forensics. Якщо розпочати одразу з курсу про розслідування інцидентів, у слухача можуть виникнути прикрі прогалини у знаннях з використання Belkasoft Evidence Center, знаходження та дослідження криміналістичних артефактів. Це може призвести до того, що під час навчання з курсу Belkasoft Incident Response Examination слухач або не встигне освоїти матеріал, або гальмуватиме решту групи в отриманні нових знань, оскільки навчальний час витрачається тренером на пояснення матеріалу з курсу Belkasoft Digital Forensics.

Комп'ютерна криміналістика з Belkasoft Evidence Center

мета курсу Belkasoft Digital Forensics — познайомити слухачів із програмою Belkasoft Evidence Center, навчити їх використовувати цю програму для збору доказів із різних джерел (хмарних сховищ, оперативної пам'яті (ОЗП), мобільних пристроїв, носіїв інформації (жорсткі диски, флеш-накопичувачі тощо), освоїти базові криміналістичні прийоми та техніки, методи криміналістичного дослідження артефактів Windows, мобільних пристроїв, дампів оперативної пам'яті, також ви навчитеся виявляти та документувати артефакти браузерів та програм обміну миттєвими повідомленнями, створювати криміналістичні копії даних з різних джерел, отримувати дані про геолокацію та здійснювати пошук тексту (Пошук за ключовими словами), використовувати хеші при проведенні досліджень, проводити аналіз реєстру Windows, освоїте навички дослідження невідомих баз даних SQLite, основи дослідження графічних та відеофайлів та аналітичні прийоми, які застосовуються під час проведення розслідувань.

Курс буде корисним експертам зі спеціалізацією в галузі комп'ютерно-технічної експертизи (комп'ютерної експертизи); технічним фахівцям, які визначають причини успішного вторгнення, аналізують ланцюжки подій та наслідки кібератак; технічним фахівцям, які виявляють та документують розкрадання (витік) даних інсайдером (внутрішнім порушником); спеціалісти e-Discovery; співробітникам SOC та CERT/CSIRT; працівникам служби інформаційної безпеки; ентузіастам комп'ютерної криміналістики

План курсу:

• Belkasoft Evidence Center (BEC): перші кроки
• Створення та обробка кейсів у BEC
• Збір цифрових доказів у рамках криміналістичного дослідження за допомогою BEC

• Використання фільтрів
• Створення звітів
• Дослідження програм обміну миттєвими повідомленнями

• Дослідження веб-браузерів

• Дослідження мобільних пристроїв
• Вилучення даних про геолокацію

• Пошук текстових послідовностей у кейсах
• Вилучення та аналіз даних з хмарних сховищ
• Використання закладок виділення значних доказів, виявлених під час дослідження
• Дослідження системних файлів Windows

• Аналіз реєстру Windows
• Аналіз баз даних SQLite

• Методи відновлення даних
• Прийоми дослідження дампів оперативної пам'яті
• Використання хеш-калькулятора та хеш-аналізу в криміналістичних дослідженнях
• Аналіз зашифрованих файлів
• Методи дослідження графічних та відеофайлів
• Використання аналітичних прийомів при криміналістичних дослідженнях
• Автоматизація рутинних дій за допомогою вбудованої мови програмування Belkascripts

• Практичні заняття

Курс: Belkasoft Incident Response Examination

Мета курсу – вивчити основи криміналістичного розслідування кібератак та можливості використання Belkasoft Evidence Center при розслідуванні. Ви дізнаєтеся про основні вектори сучасних атак на комп'ютерні мережі, навчитеся класифікувати комп'ютерні атаки на основі матриці MITRE ATT&CK, застосовувати алгоритми дослідження операційних систем щодо встановлення факту компрометації та реконструкції дій атакуючих, дізнаєтесь, де знаходяться артефакти, які вказують на те, які файли відкривалися останніми , де в операційній системі зберігається інформація про завантаження та запуск виконуваних файлів, як переміщалися атакуючі по мережі, і навчитеся досліджувати ці артефакти за допомогою BEC. Також ви дізнаєтеся, які події в системних журналах становлять інтерес з точки зору розслідування інцидентів та встановлення факту віддаленого доступу та навчитеся їх дослідити за допомогою BEC.

Курс буде корисний технічним фахівцям, які визначають причини успішного вторгнення, аналізують ланцюжки подій та наслідки кібератак; системним адміністраторам; співробітникам SOC та CERT/CSIRT; працівникам служби інформаційної безпеки.

Огляд курсу

Cyber ​​Kill Chain описує основні етапи будь-якої технічної атаки на комп'ютери (або комп'ютерну мережу) жертви таким чином:

Дії співробітників SOC (CERT, інформаційної безпеки тощо), спрямовані на те, щоб не допустити зловмисників на інформаційні ресурси, що захищаються.

Якщо зловмисники все-таки проникли в інфраструктуру, що захищається, то вищевказані особи повинні постаратися мінімізувати збитки від діяльності атакуючих, визначити, яким способом була здійснена атака, реконструювати події та послідовність дій атакуючих у скомпрометованій інформаційній структурі та вжити заходів до запобігання подібному типу атак надалі.

У скомпрометованій інформаційній інфраструктурі можуть бути знайдені такі типи слідів, що вказують на компрометацію мережі (комп'ютера):

Всі подібні сліди можна знайти за допомогою програми Belkasoft Evidence Center.

BEC містить модуль «Розслідування інцидентів», куди при аналізі носіїв інформації містяться відомості про артефакти, які здатні допомогти досліднику при розслідуванні інцидентів.

BEC підтримує дослідження основних типів артефактів Windows, що вказують на запуск файлів, що виконуються в досліджуваній системі, включаючи файли Amcache, Userassist, Prefetch, BAM/DAM, Хронологія Windows 10, аналіз системних подій

Інформація про сліди, що містять відомості про дії користувача в скомпрометованій системі, може бути подана у такому вигляді:

Ця інформація, в тому числі, включає відомості про запуск виконуваних файлів:

Інформація про запуск файлу 'RDPWInst.exe'.

Відомості про закріплення атакуючих у скомпрометованих системах можуть бути виявлені у ключах запуску реєстру Windows, сервісах, запланованих завданнях, Logon scripts, WMI тощо. Приклади виявлення відомостей про закріплення в системі атакуючих можуть бути помічені на наступних скріншотах:

Закріплення атакуючих з використанням планувальника завдань шляхом створення завдання запускає PowerShell скрипт.

Закріплення атакуючих за допомогою інструментарію керування Windows (Windows Management Instrumentation, WMI).

Закріплення атакуючих за допомогою Logon script.

Переміщення атакуючих скомпрометованою комп'ютерною мережею може бути виявлено, наприклад, аналізом системних журналів Windows (при використанні атакуючими сервісу RDP).

Інформація про знайдені RDP-з'єднання.

Інформація про переміщення атакуючих через мережу.

Таким чином Belkasoft Evidence Center здатна допомогти дослідникам виявити скомпрометовані комп'ютери в атакованій комп'ютерній мережі, знайти сліди запуску шкідливих програм, сліди закріплення в системі та переміщення по мережі та інші сліди діяльності атакуючих на скомпрометованих комп'ютерах.

Про те, як проводити подібні дослідження та виявляти описані вище артефакти, розповідається в курсі навчання Belkasoft Incident Response Examination.

План курсу:

• Тенденції вчинення кібератак. Технології, інструменти, цілі зловмисників
• Використання моделей загроз для розуміння тактик, технік та процедур атакуючих
• Cyber ​​kill chain
• Алгоритм реагування на інцидент: ідентифікація, локалізація, формування індикаторів, пошук нових заражених вузлів
• Аналіз Windows-систем за допомогою BEC
• Виявлення методів первинного зараження, розповсюдження через мережу, закріплення, мережевої активності шкідливого ПЗ за допомогою BEC
• Виявлення заражених систем та відновлення хронології зараження за допомогою BEC
• Практичні заняття

FAQДе проводяться курси?
Курси проводяться у штаб-квартирі Group-IB або на зовнішньому майданчику (у навчальному центрі). Можливий виїзд тренера на майданчики до корпоративних замовників.

Хто проводить заняття?
Тренерами в компанії Group-IB є практики, які мають багаторічний досвід проведення криміналістичних досліджень, корпоративних розслідувань та реагування на інциденти інформаційної безпеки.

Кваліфікацію тренерів підтверджено численними міжнародними сертифікатами: GCFA, MCFE, ACE, EnCE тощо.

Наші тренери легко порозуміються з аудиторією, доступно пояснюючи навіть найскладніші теми. Слухачі дізнаються багато актуальної та цікавої інформації про розслідування комп'ютерних інцидентів, методи виявлення та протидії комп'ютерним атакам, отримують реальні практичні знання, які можуть застосувати одразу після закінчення навчання.

Чи дадуть курси корисні навички, не пов'язані з продуктами Belkasoft, чи без цього програмного забезпечення ці навички будуть незастосовні?
Навички, отримані під час тренінгів, будуть корисними і без використання продуктів Belkasoft.

Що входить до первинного тестування?

Первинне тестування - це тест на знання основ комп'ютерної криміналістики. Проведення тестування на знання продуктів компаній Belkasoft та Group-IB не планується.

Де можна знайти інформацію про освітні курси компанії?

У рамках освітніх курсів Group-IB готує фахівців з реагування на інциденти, дослідження шкідливих програм, фахівців з кіберрозвідки (Threat Intelligence), фахівців для роботи в Security Operation Center (SOC), фахівців з проактивного пошуку загроз (Threat Hunter) тощо. . Повний список авторських курсів компанії Group-IB доступний тут.

Які бонуси одержують слухачі, які закінчили спільні курси Group-IB та Belkasoft?
Навчання на спільних курсах Group-IB і Belkasoft отримають:

1. сертифікат про проходження курсу;
2. безкоштовну місячну передплату на Belkasoft Evidence Center;
3. знижку 10% на придбання Belkasoft Evidence Center.

Нагадуємо, що перший курс стартує у понеділок, 9 вересня, - не пропустіть можливість отримати унікальні знання в галузі інформаційної безпеки, комп'ютерної криміналістики та реагування на інциденти! Запис на курс тут.

ДжерелаПід час підготовки статті використовувалася презентація Олега Скулькіна «За допомогою host-based forensics до get indicators of compromise for successful intelligence-driven incident response».

Джерело: habr.com