Group-IB va Belkasoft qo'shma kurslari: biz nimani o'rgatamiz va kim qatnashadi

Axborot xavfsizligi hodisalariga javob berish algoritmlari va taktikalari, joriy kiberhujumlar tendentsiyalari, kompaniyalarda ma'lumotlar sizib chiqishini tekshirishga yondashuvlar, brauzerlar va mobil qurilmalarni tadqiq qilish, shifrlangan fayllarni tahlil qilish, geolokatsiya ma'lumotlarini olish va katta hajmdagi ma'lumotlar tahlili - bularning barchasi va boshqa mavzular. Group-IB va Belkasoftning yangi qo'shma kurslarida o'rganish mumkin. Avgust oyida biz e'lon qilindi 9-sentabrda boshlanadigan birinchi Belkasoft Digital Sud-tibbiyot kursi va ko'plab savollarni olganimizdan so'ng, biz talabalar nima o'rganishi, qanday bilim, malaka va bonuslar (!) olishlari haqida batafsilroq gaplashishga qaror qildik. oxiriga yeting. Birinchi birinchi narsalar.

Ikki Hammasi birida

Qo'shma o'quv kurslarini o'tkazish g'oyasi Group-IB kurslari ishtirokchilari buzilgan kompyuter tizimlari va tarmoqlarini tekshirishda yordam beradigan vosita haqida so'rashni boshlagandan so'ng paydo bo'ldi va biz hodisalarga javob berish paytida foydalanishni tavsiya etadigan turli xil bepul yordamchi dasturlarning funksionalligini birlashtiradi.

Bizning fikrimizcha, bunday vosita Belkasoft Evidence Center bo'lishi mumkin (biz bu haqda allaqachon gaplashgan edik maqola Igor Mixaylov "Boshlanish kaliti: kompyuter sud ekspertizasi uchun eng yaxshi dasturiy ta'minot va apparat"). Shuning uchun biz Belkasoft bilan birgalikda ikkita o'quv kursini ishlab chiqdik: Belkasoft raqamli sud ekspertizasi и Belkasoft hodisaga javob imtihon.

MUHIM: kurslar ketma-ket va bir-biriga bog'langan! Belkasoft Digital Sud ekspertizasi Belkasoft Evidence Center dasturiga bag'ishlangan va Belkasoft Incident Response Examination Belkasoft mahsulotlaridan foydalangan holda hodisalarni tekshirishga bag'ishlangan. Ya'ni, Belkasoft Incident Response Examination kursini o'rganishdan oldin, Belkasoft Digital Sud-tibbiyot kursini to'ldirishni tavsiya qilamiz. Agar siz voqeani tekshirish bo'yicha kursni darhol boshlasangiz, talaba Belkasoft dalillar markazidan foydalanish, sud-tibbiy artefaktlarni topish va tekshirishda zerikarli bilim bo'shliqlariga ega bo'lishi mumkin. Bu Belkasoft Voqealarga javob berish imtihoni kursida o'qish paytida talabaning materialni o'zlashtirishga vaqt topolmasligiga yoki guruhning qolgan qismini yangi bilimlarni olishda sekinlashishiga olib kelishi mumkin, chunki mashg'ulot vaqti sarflanadi. Trener tomonidan Belkasoft Digital Sud-tibbiyot kursidan olingan materialni tushuntiradi.

Belkasoft Evidence Center bilan kompyuter sud-tibbiyoti

Kurs maqsadi Belkasoft raqamli sud ekspertizasi — talabalarni Belkasoft Evidence Center dasturi bilan tanishtirish, ularni turli manbalardan (bulutli xotira, tasodifiy kirish xotirasi (RAM), mobil qurilmalar, saqlash vositalari (qattiq disklar, flesh-disklar va boshqalar)) dalillarni to'plash uchun ushbu dasturdan foydalanishni o'rgatish, magistratura asosiy kriminalistika texnikasi va usullari, Windows artefaktlari, mobil qurilmalari, operativ xotira qoldiqlarini sud-tibbiy ekspertizadan o‘tkazish usullari.Shuningdek, siz brauzerlar va lahzali xabar almashish dasturlari artefaktlarini aniqlash va hujjatlashtirish, turli manbalardan ma’lumotlarning sud-tibbiy nusxalarini yaratish, geolokatsiya ma’lumotlarini ajratib olish va qidiruvni o‘rganasiz. matn ketma-ketligi uchun (kalit so'zlar bo'yicha qidirish), tadqiqot o'tkazishda xeshlardan foydalaning, Windows reestrini tahlil qiling, noma'lum SQLite ma'lumotlar bazalarini o'rganish ko'nikmalarini, grafik va video fayllarni tekshirish asoslarini va tekshiruvlar davomida qo'llaniladigan analitik usullarni o'zlashtiring.

Kurs kompyuter texnikasi sud ekspertizasi (kompyuter kriminalistikasi) sohasida ixtisoslashgan mutaxassislar uchun foydali bo'ladi; muvaffaqiyatli kirish sabablarini aniqlaydigan, voqealar zanjiri va kiberhujumlar oqibatlarini tahlil qiladigan texnik mutaxassislar; insayder (ichki qoidabuzar) tomonidan ma'lumotlar o'g'irlanishini (sizib chiqishini) aniqlash va hujjatlashtirish bo'yicha texnik mutaxassislar; e-Discovery bo'yicha mutaxassislar; SOC va CERT/CSIRT xodimlari; axborot xavfsizligi xodimlari; kompyuter sud tibbiyoti ishqibozlari.

Kurs rejasi:

• Belkasoft dalillar markazi (BEC): birinchi qadamlar
• BECda ishlarni yaratish va qayta ishlash
• BEC bilan sud-tibbiyot tekshiruvlari uchun raqamli dalillarni to'plang

• Filtrlardan foydalanish
• Hisobot
• Tezkor xabar almashish dasturlari bo'yicha tadqiqotlar

• Veb-brauzer tadqiqoti

• Mobil qurilmalar tadqiqoti
• Geografik joylashuv ma'lumotlarini chiqarish

• Hollarda matn ketma-ketligini qidirish
• Bulutli omborlardan ma'lumotlarni ajratib olish va tahlil qilish
• Tadqiqot davomida topilgan muhim dalillarni ta'kidlash uchun xatcho'plardan foydalanish
• Windows tizim fayllarini tekshirish

• Windows ro'yxatga olish kitobi tahlili
• SQLite ma'lumotlar bazalarini tahlil qilish

• Ma'lumotlarni qayta tiklash usullari
• RAM chiqindilarini tekshirish usullari
• Sud ekspertizasida xesh-kalkulyator va xesh tahlilidan foydalanish
• Shifrlangan fayllarni tahlil qilish
• Grafik va video fayllarni o'rganish usullari
• Sud ekspertizasida analitik usullardan foydalanish
• O'rnatilgan Belkascripts dasturlash tilidan foydalanib, muntazam harakatlarni avtomatlashtiring

• Amaliy darslar

Kurs: Belkasoft hodisaga javob berish imtihoni

Kursning maqsadi kiberhujumlarni sud-tibbiy tekshirish asoslarini va tergovda Belkasoft Evidence Centerdan foydalanish imkoniyatlarini o'rganishdir. Siz kompyuter tarmoqlariga zamonaviy hujumlarning asosiy vektorlari bilan tanishasiz, MITER ATT&CK matritsasi asosida kompyuter hujumlarini tasniflashni o'rganasiz, murosaga kelish faktini aniqlash va tajovuzkorlarning harakatlarini qayta qurish uchun operatsion tizimni tadqiq qilish algoritmlarini qo'llaysiz, artefaktlar qaerda joylashganligini bilib olasiz. Qaysi fayllar oxirgi marta ochilganligini ko'rsating, operatsion tizim bajariladigan fayllar qanday yuklab olingani va bajarilgani, tajovuzkorlar tarmoq bo'ylab qanday harakat qilgani haqidagi ma'lumotlarni saqlaydi va BEC yordamida ushbu artefaktlarni qanday tekshirishni o'rganing. Shuningdek, siz tizim jurnallaridagi qanday hodisalar hodisalarni tekshirish va masofadan kirishni aniqlash nuqtai nazaridan qiziq ekanligini bilib olasiz va BEC yordamida ularni qanday tekshirishni o'rganasiz.

Kurs muvaffaqiyatli bosqinning sabablarini aniqlaydigan, voqealar zanjiri va kiberhujumlar oqibatlarini tahlil qiladigan texnik mutaxassislar uchun foydali bo'ladi; tizim ma'murlari; SOC va CERT/CSIRT xodimlari; axborot xavfsizligi xodimlari.

Kurs haqida umumiy ma'lumot

Cyber ​​​​Kill Chain jabrlanuvchining kompyuterlariga (yoki kompyuter tarmog'iga) har qanday texnik hujumning asosiy bosqichlarini quyidagicha tavsiflaydi:

SOC xodimlarining harakatlari (CERT, axborot xavfsizligi va boshqalar) buzg'unchilarning himoyalangan axborot resurslariga kirishining oldini olishga qaratilgan.

Agar tajovuzkorlar himoyalangan infratuzilmaga kirib ketsa, u holda yuqoridagi shaxslar tajovuzkorlar faoliyatidan ko'rilgan zararni minimallashtirishga harakat qilishlari, hujum qanday amalga oshirilganligini aniqlashlari, buzilgan axborot tuzilmasidagi hodisalar va tajovuzkorlarning harakatlari ketma-ketligini qayta qurishlari kerak. kelajakda ushbu turdagi hujumlarning oldini olish choralari.

Buzilgan axborot infratuzilmasida tarmoq (kompyuter) buzilganligini ko'rsatadigan quyidagi turdagi izlarni topish mumkin:

Bunday izlarning barchasini Belkasoft Evidence Center dasturi yordamida topish mumkin.

BECda "Voqealarni tekshirish" moduli mavjud bo'lib, unda saqlash vositalarini tahlil qilishda tadqiqotchiga hodisalarni tekshirishda yordam beradigan artefaktlar haqidagi ma'lumotlar joylashtiriladi.

BEC Windows artefaktlarining asosiy turlarini tekshirishni qo'llab-quvvatlaydi, ular tekshirilayotgan tizimda bajariladigan fayllar, jumladan Amcache, Userassist, Prefetch, BAM/DAM fayllari, Windows 10 xronologiyasi,tizim hodisalarini tahlil qilish.

Buzilgan tizimda foydalanuvchi harakatlari haqidagi ma'lumotlarni o'z ichiga olgan izlar haqidagi ma'lumot quyidagi shaklda taqdim etilishi mumkin:

Ushbu ma'lumotlar, boshqa narsalar qatori, bajariladigan fayllarni ishga tushirish haqidagi ma'lumotlarni o'z ichiga oladi:

"RDPWInst.exe" faylini ishga tushirish haqida ma'lumot.

Buzg'unchilarning buzilgan tizimlarda mavjudligi haqida ma'lumotni Windows ro'yxatga olish kitobining ishga tushirish kalitlari, xizmatlari, rejalashtirilgan vazifalari, tizimga kirish skriptlari, WMI va boshqalarda topish mumkin. Tizimga biriktirilgan tajovuzkorlar haqidagi ma'lumotlarni aniqlash misollarini quyidagi skrinshotlarda ko'rish mumkin:

PowerShell skriptida ishlaydigan vazifa yaratish orqali tajovuzkorlarni vazifa rejalashtiruvchisidan foydalanishni cheklash.

Windows Management Instrumentation (WMI) yordamida tajovuzkorlarni birlashtirish.

Logon skripti yordamida tajovuzkorlarni birlashtirish.

Buzg'unchilarning buzilgan kompyuter tarmog'i bo'ylab harakatlanishini, masalan, Windows tizimi jurnallarini tahlil qilish orqali aniqlash mumkin (agar tajovuzkorlar RDP xizmatidan foydalansa).

Aniqlangan RDP ulanishlari haqida ma'lumot.

Tarmoq bo'ylab tajovuzkorlarning harakati haqida ma'lumot.

Shunday qilib, Belkasoft Evidence Center tadqiqotchilarga hujumga uchragan kompyuter tarmog'idagi buzilgan kompyuterlarni aniqlashda, zararli dasturlarning ishga tushirilishi izlarini, tizimdagi o'rnatish va tarmoq bo'ylab harakatlanish izlarini va buzilgan kompyuterlarda tajovuzkor faoliyatining boshqa izlarini topishga yordam beradi.

Bunday tadqiqotni qanday o'tkazish va yuqorida tavsiflangan artefaktlarni aniqlash Belkasoft Incident Response Examination trening kursida tasvirlangan.

Kurs rejasi:

• Kiberhujum tendentsiyalari. Hujumchilarning texnologiyalari, vositalari, maqsadlari
• Tajovuzkorlarning taktikasi, texnikasi va tartiblarini tushunish uchun tahdid modellaridan foydalanish
• Kiber o'ldirish zanjiri
• Voqealarga javob berish algoritmi: identifikatsiya, lokalizatsiya, ko'rsatkichlarni yaratish, yangi infektsiyalangan tugunlarni qidirish
• BEC yordamida Windows tizimlarini tahlil qilish
• BEC yordamida zararli dasturlarning birlamchi infektsiya usullarini, tarmoq tarqalishini, konsolidatsiyasini va tarmoq faolligini aniqlash
• BEC yordamida zararlangan tizimlarni aniqlang va infektsiya tarixini tiklang
• Amaliy darslar

FAQKurslar qayerda o'tkaziladi?
Kurslar Group-IB shtab-kvartirasida yoki tashqi saytda (o'quv markazi) o'tkaziladi. Trener korporativ mijozlar bilan saytlarga sayohat qilishi mumkin.

Darslarni kim olib boradi?
Group-IB trenerlari sud-tibbiy tadqiqotlar, korporativ tekshiruvlar o‘tkazish va axborot xavfsizligi intsidentlariga javob qaytarish bo‘yicha ko‘p yillik tajribaga ega amaliyotchilardir.

Trenerlarning malakasi ko'plab xalqaro sertifikatlar bilan tasdiqlangan: GCFA, MCFE, ACE, EnCE va boshqalar.

Bizning trenerlarimiz eng murakkab mavzularni ham aniq tushuntirib, tinglovchilar bilan osongina umumiy til topadilar. Talabalar kompyuter hodisalarini tekshirish, kompyuter hujumlarini aniqlash va ularga qarshi kurashish usullari haqida ko'plab dolzarb va qiziqarli ma'lumotlarni o'rganadilar va o'qishni tugatgandan so'ng darhol qo'llashlari mumkin bo'lgan haqiqiy amaliy bilimlarga ega bo'ladilar.

Kurslar Belkasoft mahsulotlari bilan bog'liq bo'lmagan foydali ko'nikmalarni beradimi yoki bu ko'nikmalar ushbu dasturiy ta'minotsiz qo'llanilmaydimi?
Trening davomida olingan ko'nikmalar Belkasoft mahsulotlarini ishlatmasdan foydali bo'ladi.

Dastlabki sinovga nimalar kiradi?

Birlamchi test - bu kompyuter kriminalistikasi asoslari bo'yicha bilimlarni tekshirish. Belkasoft va Group-IB mahsulotlari bo'yicha bilimlarni sinab ko'rish rejalashtirilmagan.

Kompaniyaning o'quv kurslari haqida ma'lumotni qayerdan olsam bo'ladi?

Ta'lim kurslari doirasida Group-IB hodisalarga javob berish, zararli dasturlarni o'rganish, kiber razvedka bo'yicha mutaxassislarni (Threat Intelligence), Xavfsizlik Operatsion Markazida (SOC) ishlash uchun mutaxassislarni, tahdidlarni proaktiv ovlash bo'yicha mutaxassislarni (Threat Hunter) va boshqalarni tayyorlaydi. . Group-IB xususiy kurslarining toʻliq roʻyxati mavjud shu yerda.

Group-IB va Belkasoft o'rtasidagi qo'shma kurslarni tamomlagan talabalar qanday bonuslarga ega bo'lishadi?
Group-IB va Belkasoft o'rtasidagi qo'shma kurslarda o'qiganlar:

1. kursni tugatganligi to'g'risidagi sertifikat;
2. Belkasoft Evidence Center-ga oylik bepul obuna;
3. Belkasoft Evidence Center xaridiga 10% chegirma.

Eslatib o'tamiz, birinchi kurs dushanba kuni boshlanadi, 9 sentyabr, - axborot xavfsizligi, kompyuter kriminalistikasi va hodisalarga javob berish sohasida noyob bilimlarga ega bo'lish imkoniyatini qo'ldan boy bermang! Kursga ro'yxatdan o'tish shu yerda.

Axborot manbalariMaqolani tayyorlashda biz Oleg Skulkinning "Razvedka ma'lumotlariga asoslangan hodisaga muvaffaqiyatli javob berish uchun murosa ko'rsatkichlarini olish uchun xostga asoslangan sud tibbiyotidan foydalanish" taqdimotidan foydalandik.

Manba: www.habr.com