انفارمیشن سیکیورٹی کے واقعات کا جواب دینے کے لیے الگورتھم اور حکمت عملی، موجودہ سائبر حملوں کے رجحانات، کمپنیوں میں ڈیٹا لیک ہونے کی تحقیقات کے طریقے، براؤزرز اور موبائل ڈیوائسز پر تحقیق کرنا، انکرپٹڈ فائلوں کا تجزیہ کرنا، جغرافیائی محل وقوع کا ڈیٹا نکالنا اور ڈیٹا کی بڑی مقدار کے تجزیات - یہ سب اور دیگر موضوعات۔ گروپ-IB اور Belkasoft کے نئے مشترکہ کورسز پر پڑھا جا سکتا ہے۔ اگست میں ہم پہلا Belkasoft Digital Forensics کورس، جو 9 ستمبر سے شروع ہو رہا ہے، اور بڑی تعداد میں سوالات موصول ہونے کے بعد، ہم نے اس بارے میں مزید تفصیل سے بات کرنے کا فیصلہ کیا کہ طلباء کیا مطالعہ کریں گے، کون سا علم، قابلیت اور بونس (!) حاصل کریں گے۔ آخر تک پہنچیں. ضروری کام پہلے.
دو سب ایک میں
مشترکہ تربیتی کورسز کے انعقاد کا خیال گروپ-IB کورس کے شرکاء نے ایک ایسے آلے کے بارے میں پوچھنا شروع کیا جو کمپوٹر سسٹم اور نیٹ ورکس کی چھان بین کرنے میں ان کی مدد کرے گا، اور مختلف مفت یوٹیلیٹیز کی فعالیت کو یکجا کرے گا جن کو ہم واقعہ کے ردعمل کے دوران استعمال کرنے کی تجویز کرتے ہیں۔
ہماری رائے میں، ایسا آلہ Belkasoft Evidence Center ہو سکتا ہے (ہم پہلے ہی اس کے بارے میں بات کر چکے ہیں۔ Igor Mikhailov "شروع کی کلید: کمپیوٹر فرانزک کے لیے بہترین سافٹ ویئر اور ہارڈ ویئر")۔ لہذا، ہم نے، Belkasoft کے ساتھ مل کر، دو تربیتی کورس تیار کیے ہیں: بیلکاسوفٹ ڈیجیٹل فرانزکس и Belkasoft واقعہ جوابی امتحان.
اہم: کورسز ترتیب وار اور ایک دوسرے سے جڑے ہوئے ہیں! Belkasoft Digital Forensics Belkasoft Evidence Center پروگرام کے لیے وقف ہے، اور Belkasoft واقعہ رسپانس ایگزامینیشن Belkasoft مصنوعات کا استعمال کرتے ہوئے واقعات کی تفتیش کے لیے وقف ہے۔ یعنی، بیلکاسوفٹ انسیڈنٹ ریسپانس ایگزامینیشن کورس کا مطالعہ کرنے سے پہلے، ہم بیلکاسوفٹ ڈیجیٹل فرانزکس کورس کو مکمل کرنے کی پرزور سفارش کرتے ہیں۔ اگر آپ واقعے کی تحقیقات کے کورس کے ساتھ فوراً آغاز کرتے ہیں، تو طالب علم کے پاس Belkasoft Evidence Center استعمال کرنے، فرانزک نمونے تلاش کرنے اور جانچنے میں پریشان کن علمی خلا ہو سکتا ہے۔ اس سے یہ حقیقت سامنے آسکتی ہے کہ بیلکاسافٹ انسیڈینٹ ریسپانس ایگزامینیشن کورس میں تربیت کے دوران، طالب علم کے پاس یا تو مواد پر عبور حاصل کرنے کا وقت نہیں ہو گا، یا نئے علم کے حصول میں باقی گروپ کو سست کر دے گا، کیونکہ تربیت کا وقت صرف ہو جائے گا۔ بیلکاسوفٹ ڈیجیٹل فرانزک کورس کے مواد کی وضاحت کرنے والے ٹرینر کے ذریعے۔
Belkasoft ایویڈنس سینٹر کے ساتھ کمپیوٹر فرانزک
کورس کا مقصد۔ بیلکاسوفٹ ڈیجیٹل فرانزکس - طلباء کو بیلکاسوفٹ ایویڈنس سینٹر پروگرام سے متعارف کروائیں، انہیں اس پروگرام کو مختلف ذرائع سے ثبوت جمع کرنے کے لیے استعمال کرنا سکھائیں (کلاؤڈ اسٹوریج، رینڈم ایکسیس میموری (RAM)، موبائل ڈیوائسز، اسٹوریج میڈیا (ہارڈ ڈرائیوز، فلیش ڈرائیوز، وغیرہ)، ماسٹر بنیادی فرانزک تکنیک اور تکنیک، ونڈوز آرٹفیکٹس، موبائل ڈیوائسز، RAM ڈمپس کی فرانزک جانچ کے طریقے۔ آپ براؤزرز اور فوری پیغام رسانی کے پروگراموں کے نمونے کی شناخت اور دستاویز کرنا بھی سیکھیں گے، مختلف ذرائع سے ڈیٹا کی فرانزک کاپیاں بنائیں گے، جغرافیائی محل وقوع کا ڈیٹا نکالیں گے اور تلاش کریں گے۔ متن کی ترتیب کے لیے (مطلوبہ الفاظ کے ذریعے تلاش کریں)، تحقیق کرتے وقت ہیشز کا استعمال کریں، ونڈوز رجسٹری کا تجزیہ کریں، نامعلوم SQLite ڈیٹا بیس کو تلاش کرنے کی مہارت، گرافک اور ویڈیو فائلوں کی جانچ کی بنیادی باتیں، اور تحقیقات کے دوران استعمال ہونے والی تجزیاتی تکنیکوں میں مہارت حاصل کریں۔
یہ کورس کمپیوٹر ٹیکنیکل فرانزک (کمپیوٹر فرانزک) کے شعبے میں مہارت رکھنے والے ماہرین کے لیے مفید ہو گا۔ تکنیکی ماہرین جو کامیاب مداخلت کی وجوہات کا تعین کرتے ہیں، واقعات کے سلسلہ اور سائبر حملوں کے نتائج کا تجزیہ کرتے ہیں۔ تکنیکی ماہرین ایک اندرونی (اندرونی خلاف ورزی کرنے والے) کے ذریعہ ڈیٹا چوری (لیک) کی شناخت اور دستاویز کرنے والے؛ ای ڈسکوری کے ماہرین؛ SOC اور CERT/CSIRT کا عملہ؛ معلومات کی حفاظت کے ملازمین؛ کمپیوٹر فرانزک کے شوقین۔
کورس پلان:
- Belkasoft ایویڈنس سینٹر (BEC): پہلے اقدامات
- بی ای سی میں مقدمات کی تشکیل اور کارروائی
- BEC کے ساتھ فرانزک تحقیقات کے لیے ڈیجیٹل ثبوت جمع کریں۔
- فلٹرز کا استعمال
- رپورٹیں تیار کرنا
- فوری پیغام رسانی کے پروگراموں پر تحقیق
- ویب براؤزر ریسرچ
- موبائل ڈیوائس ریسرچ
- جغرافیائی محل وقوع کا ڈیٹا نکالنا
- معاملات میں متن کی ترتیب تلاش کرنا
- کلاؤڈ اسٹوریج سے ڈیٹا نکالنا اور تجزیہ کرنا
- تحقیق کے دوران پائے جانے والے اہم شواہد کو اجاگر کرنے کے لیے بک مارکس کا استعمال
- ونڈوز سسٹم فائلوں کی جانچ
- ونڈوز رجسٹری تجزیہ
- SQLite ڈیٹا بیس کا تجزیہ
- ڈیٹا ریکوری کے طریقے
- رام ڈمپ کی جانچ کرنے کی تکنیک
- فرانزک تحقیق میں ہیش کیلکولیٹر اور ہیش تجزیہ کا استعمال
- انکرپٹڈ فائلوں کا تجزیہ
- گرافک اور ویڈیو فائلوں کا مطالعہ کرنے کے طریقے
- فرانزک تحقیق میں تجزیاتی تکنیک کا استعمال
- بلٹ ان Belkascripts پروگرامنگ زبان کا استعمال کرتے ہوئے معمول کے اعمال کو خودکار کریں۔
- عملی اسباق
کورس: Belkasoft واقعہ جوابی امتحان
کورس کا مقصد سائبر حملوں کی فرانزک تحقیقات کی بنیادی باتیں اور تفتیش میں Belkasoft Evidence Center کے استعمال کے امکانات کو جاننا ہے۔ آپ کمپیوٹر نیٹ ورکس پر جدید حملوں کے اہم ویکٹرز کے بارے میں جانیں گے، MITER ATT&CK میٹرکس کی بنیاد پر کمپیوٹر حملوں کی درجہ بندی کرنا سیکھیں گے، سمجھوتہ کی حقیقت کو قائم کرنے کے لیے آپریٹنگ سسٹم ریسرچ الگورتھم کا اطلاق کریں گے اور حملہ آوروں کی کارروائیوں کی تشکیل نو کریں گے، جانیں گے کہ نمونے کہاں واقع ہیں۔ اس بات کی نشاندہی کریں کہ کون سی فائلیں آخری بار کھولی گئی تھیں، جہاں آپریٹنگ سسٹم اس بارے میں معلومات اسٹور کرتا ہے کہ کس طرح قابل عمل فائلوں کو ڈاؤن لوڈ اور عمل میں لایا گیا، حملہ آور کیسے پورے نیٹ ورک میں منتقل ہوئے، اور BEC کا استعمال کرتے ہوئے ان نمونوں کی جانچ کرنے کا طریقہ سیکھیں۔ آپ یہ بھی سیکھیں گے کہ سسٹم لاگ میں کون سے واقعات واقعات کی تفتیش اور دور دراز تک رسائی کا پتہ لگانے کے نقطہ نظر سے دلچسپی رکھتے ہیں، اور BEC کا استعمال کرتے ہوئے ان کی چھان بین کرنے کا طریقہ سیکھیں گے۔
یہ کورس تکنیکی ماہرین کے لیے مفید ہو گا جو کامیاب مداخلت کی وجوہات کا تعین کرتے ہیں، واقعات کی زنجیروں اور سائبر حملوں کے نتائج کا تجزیہ کرتے ہیں۔ سسٹم کے منتظمین؛ SOC اور CERT/CSIRT کا عملہ؛ معلومات سیکورٹی عملہ.
کورس کا جائزہ
سائبر کِل چین شکار کے کمپیوٹرز (یا کمپیوٹر نیٹ ورک) پر کسی تکنیکی حملے کے اہم مراحل کو اس طرح بیان کرتا ہے:
SOC ملازمین (CERT، انفارمیشن سیکیورٹی وغیرہ) کے اقدامات کا مقصد دراندازوں کو محفوظ معلومات کے وسائل تک رسائی سے روکنا ہے۔
اگر حملہ آور محفوظ انفراسٹرکچر میں گھس جاتے ہیں، تو مندرجہ بالا افراد کو حملہ آوروں کی سرگرمیوں سے ہونے والے نقصان کو کم سے کم کرنے کی کوشش کرنی چاہیے، اس بات کا تعین کرنا چاہیے کہ حملہ کیسے کیا گیا، سمجھوتہ شدہ معلوماتی ڈھانچے میں حملہ آوروں کے واقعات اور کارروائیوں کی ترتیب کو دوبارہ ترتیب دیں، اور مستقبل میں اس قسم کے حملے کو روکنے کے لیے اقدامات۔
سمجھوتہ شدہ معلومات کے بنیادی ڈھانچے میں درج ذیل قسم کے نشانات مل سکتے ہیں، جو اس بات کی نشاندہی کرتے ہیں کہ نیٹ ورک (کمپیوٹر) سے سمجھوتہ کیا گیا ہے:
اس طرح کے تمام نشانات Belkasoft Evidence Center پروگرام کا استعمال کرتے ہوئے مل سکتے ہیں۔
بی ای سی کے پاس "واقعہ کی تحقیقات" ماڈیول ہے، جہاں، سٹوریج میڈیا کا تجزیہ کرتے وقت، نمونے کے بارے میں معلومات رکھی جاتی ہیں جو واقعات کی تفتیش کے دوران محقق کی مدد کر سکتی ہیں۔
BEC ونڈوز آرٹفیکٹس کی اہم اقسام کی جانچ کی حمایت کرتا ہے جو زیر تفتیش سسٹم پر قابل عمل فائلوں کے عمل کی نشاندہی کرتا ہے، بشمول Amcache، Userassist، Prefetch، BAM/DAM فائلیں، نظام کے واقعات کا تجزیہ۔
سمجھوتہ شدہ نظام میں صارف کے اعمال کے بارے میں معلومات پر مشتمل نشانات کے بارے میں معلومات درج ذیل شکل میں پیش کی جا سکتی ہیں:
اس معلومات میں، دوسری چیزوں کے علاوہ، قابل عمل فائلوں کو چلانے کے بارے میں معلومات شامل ہیں:
'RDPWInst.exe' فائل چلانے کے بارے میں معلومات۔
کمپرومائزڈ سسٹمز میں حملہ آوروں کی موجودگی کے بارے میں معلومات ونڈوز رجسٹری اسٹارٹ اپ کیز، سروسز، شیڈول ٹاسک، لاگ ان اسکرپٹس، ڈبلیو ایم آئی وغیرہ میں مل سکتی ہیں۔ حملہ آوروں کے نظام سے منسلک ہونے کے بارے میں معلومات کا پتہ لگانے کی مثالیں درج ذیل اسکرین شاٹس میں دیکھی جا سکتی ہیں:
PowerShell اسکرپٹ چلانے والے ٹاسک بنا کر ٹاسک شیڈیولر کا استعمال کرتے ہوئے حملہ آوروں کو روکنا۔
ونڈوز مینجمنٹ انسٹرومینٹیشن (WMI) کا استعمال کرتے ہوئے حملہ آوروں کو مضبوط کرنا۔
لاگ ان اسکرپٹ کا استعمال کرتے ہوئے حملہ آوروں کو مضبوط کرنا۔
کمپرومائزڈ کمپیوٹر نیٹ ورک پر حملہ آوروں کی نقل و حرکت کا پتہ لگایا جا سکتا ہے، مثال کے طور پر، ونڈوز سسٹم لاگز کا تجزیہ کرکے (اگر حملہ آور RDP سروس استعمال کرتے ہیں)۔
پتہ چلا آر ڈی پی کنکشن کے بارے میں معلومات۔
پورے نیٹ ورک پر حملہ آوروں کی نقل و حرکت کے بارے میں معلومات۔
اس طرح، Belkasoft Evidence Center محققین کو حملہ آور کمپیوٹر نیٹ ورک میں سمجھوتہ کرنے والے کمپیوٹرز کی شناخت کرنے، میلویئر کے آغاز کے نشانات، سسٹم میں درستگی کے نشانات اور پورے نیٹ ورک میں نقل و حرکت، اور سمجھوتہ شدہ کمپیوٹرز پر حملہ آور کی سرگرمی کے دیگر نشانات تلاش کرنے میں مدد کر سکتا ہے۔
اس طرح کی تحقیق کرنے اور اوپر بیان کردہ نمونوں کا پتہ لگانے کا طریقہ Belkasoft واقعے کے جوابی امتحان کے تربیتی کورس میں بیان کیا گیا ہے۔
کورس پلان:
- سائبر حملے کے رجحانات۔ ٹیکنالوجیز، اوزار، حملہ آوروں کے مقاصد
- حملہ آور کی حکمت عملیوں، تکنیکوں اور طریقہ کار کو سمجھنے کے لیے خطرے کے ماڈلز کا استعمال
- سائبر کِل چین
- واقعہ کے ردعمل کا الگورتھم: شناخت، لوکلائزیشن، اشارے کی نسل، نئے متاثرہ نوڈس کی تلاش
- BEC کا استعمال کرتے ہوئے ونڈوز سسٹمز کا تجزیہ
- بنیادی انفیکشن کے طریقوں کا پتہ لگانا، نیٹ ورک کے پھیلاؤ، استحکام، اور BEC کا استعمال کرتے ہوئے میلویئر کے نیٹ ورک کی سرگرمی
- بی ای سی کا استعمال کرتے ہوئے متاثرہ نظاموں کی شناخت کریں اور انفیکشن کی تاریخ کو بحال کریں۔
- عملی اسباق
اکثر پوچھے جانے والے سوالاتکورسز کہاں منعقد ہوتے ہیں؟
کورسز گروپ-آئی بی ہیڈ کوارٹر یا کسی بیرونی سائٹ (ٹریننگ سینٹر) میں منعقد کیے جاتے ہیں۔ ایک ٹرینر کے لیے کارپوریٹ صارفین کے ساتھ سائٹس کا سفر کرنا ممکن ہے۔
کلاسز کون چلاتا ہے؟
گروپ-آئی بی میں تربیت دہندگان ایسے پریکٹیشنرز ہیں جن کے پاس فرانزک تحقیق، کارپوریٹ تحقیقات اور معلوماتی حفاظتی واقعات کا جواب دینے میں کئی سالوں کا تجربہ ہے۔
ٹرینرز کی قابلیت کی تصدیق متعدد بین الاقوامی سرٹیفکیٹس سے ہوتی ہے: GCFA، MCFE، ACE، EnCE، وغیرہ۔
ہمارے ٹرینرز آسانی سے سامعین کے ساتھ ایک مشترکہ زبان تلاش کرتے ہیں، یہاں تک کہ انتہائی پیچیدہ موضوعات کی بھی واضح طور پر وضاحت کرتے ہیں۔ طلباء کمپیوٹر کے واقعات کی تحقیقات کے بارے میں بہت سی متعلقہ اور دلچسپ معلومات سیکھیں گے، کمپیوٹر حملوں کی نشاندہی کرنے اور ان کا مقابلہ کرنے کے طریقے، اور حقیقی عملی علم حاصل کریں گے جسے وہ گریجویشن کے فوراً بعد درخواست دے سکتے ہیں۔
کیا کورسز ایسے مفید ہنر فراہم کریں گے جن کا تعلق Belkasoft مصنوعات سے نہیں ہے، یا کیا یہ مہارتیں اس سافٹ ویئر کے بغیر لاگو نہیں ہوں گی؟
تربیت کے دوران حاصل کی گئی مہارتیں Belkasoft مصنوعات استعمال کیے بغیر کارآمد ثابت ہوں گی۔
ابتدائی جانچ میں کیا شامل ہے؟
پرائمری ٹیسٹنگ کمپیوٹر فرانزک کی بنیادی باتوں کے علم کا امتحان ہے۔ Belkasoft اور Group-IB مصنوعات کے علم کی جانچ کرنے کا کوئی منصوبہ نہیں ہے۔
میں کمپنی کے تعلیمی کورسز کے بارے میں معلومات کہاں سے حاصل کر سکتا ہوں؟
تعلیمی کورسز کے ایک حصے کے طور پر، گروپ-آئی بی واقعات کے ردعمل، مالویئر ریسرچ، سائبر انٹیلی جنس ماہرین (تھریٹ انٹیلی جنس)، سیکیورٹی آپریشن سینٹر (ایس او سی) میں کام کرنے کے ماہرین، پرایکٹیو تھریٹ ہنٹنگ (تھریٹ ہنٹر) وغیرہ کے ماہرین کو تربیت دیتا ہے۔ . گروپ-آئی بی کے ملکیتی کورسز کی مکمل فہرست دستیاب ہے۔ .
گروپ-IB اور Belkasoft کے درمیان مشترکہ کورس مکمل کرنے والے طلباء کو کیا بونس ملتا ہے؟
وہ لوگ جنہوں نے گروپ-IB اور Belkasoft کے درمیان مشترکہ کورسز میں تربیت مکمل کی ہے وہ حاصل کریں گے:
- کورس کی تکمیل کا سرٹیفکیٹ؛
- Belkasoft ایویڈنس سینٹر کی مفت ماہانہ رکنیت؛
- Belkasoft Evidence Center کی خریداری پر 10% رعایت۔
ہم آپ کو یاد دلاتے ہیں کہ پہلا کورس پیر کو شروع ہوتا ہے، 9 ستمبر, - معلومات کی حفاظت، کمپیوٹر فرانزک اور واقعہ کے ردعمل کے میدان میں منفرد علم حاصل کرنے کا موقع ضائع نہ کریں! کورس کے لیے رجسٹریشن .
ذرائعمضمون کی تیاری میں، ہم نے Oleg Skulkin کی پیشکش کا استعمال کیا "میزبان پر مبنی فرانزک کا استعمال کرتے ہوئے انٹیلی جنس پر مبنی واقعے کے کامیاب ردعمل کے لیے سمجھوتہ کے اشارے حاصل کرنا۔"
ماخذ: www.habr.com