应对信息安全事件的算法和策略、当前网络攻击的趋势、调查公司数据泄露的方法、研究浏览器和移动设备、分析加密文件、提取地理位置数据和大数据量分析 - 所有这些和其他主题都可以学习Group-IB和Belkasoft的新联合课程。 八月我们 第一期 Belkasoft 数字取证课程将于 9 月 XNUMX 日开始,在收到大量问题后,我们决定更详细地告诉学生将学习什么,以及这些学生将获得哪些知识、能力和奖金(!)谁到达终点。 关于一切都井井有条。
两个合而为一
在 Group-IB 课程的参与者开始询问是否有一种工具可以帮助他们调查受感染的计算机系统和网络,并结合我们推荐的各种免费实用程序的功能后,举办联合培训课程的想法就出现了在事件响应期间使用。
在我们看来,Belkasoft Evidence Center 可能就是这样一个工具(我们已经在 伊戈尔·米哈伊洛夫(Igor Mikhailov)“启动关键:计算机取证的最佳软件和硬件”)。 因此,我们与 Belkasoft 一起开发了两个培训课程: Belkasoft 数字取证 и Belkasoft 事件响应检查.
重要提示:课程是连续且相互关联的! Belkasoft Digital Forensics 致力于 Belkasoft 证据中心计划,Belkasoft Incident Response Examination 致力于使用 Belkasoft 产品进行事件调查。 也就是说,在学习 Belkasoft 事件响应考试课程之前,我们强烈建议您完成 Belkasoft 数字取证课程。 如果您立即开始事件调查课程,学生在使用 Belkasoft 证据中心、查找和研究法医文物时可能会遇到恼人的知识差距。 这可能导致这样的事实:在 Belkasoft 事件响应考试课程期间,学生要么没有时间掌握材料,要么会减慢小组其他成员获取新知识的速度,因为培训时间将由学生花费培训师解释 Belkasoft 数字取证课程的材料。
使用 Belkasoft 证据中心进行计算机取证
课程目的 Belkasoft 数字取证 — 向学生介绍 Belkasoft 证据中心程序,教他们如何使用该程序从各种来源(云存储、随机存取存储器 (RAM)、移动设备、存储介质(硬盘驱动器、闪存驱动器等))收集证据,掌握基本的取证技术和技巧,对 Windows 工件、移动设备、内存转储进行取证调查的方法您还将学习如何识别和记录浏览器和即时消息工件,从各种来源创建数据的取证副本,提取地理位置数据和搜索对于文本序列(按关键字搜索),在研究中使用哈希,分析 Windows 注册表,学习研究未知 SQLite 数据库的技能、研究图形和视频文件的基础知识以及调查过程中使用的分析技术。
该课程对于计算机技术专业(计算机专业知识)领域的专家很有用; 技术专家确定成功入侵的原因,分析事件链和网络攻击的后果; 识别并记录内部人员(内部犯罪者)数据盗窃(泄露)的技术专家; 电子证据开示专家; SOC 和 CERT/CSIRT 工作人员; 信息安全官员; 计算机取证爱好者。
课程计划:
- Belkasoft 证据中心 (BEC):第一步
- 在 BEC 中创建和处理案例
- 使用 BEC 收集法医调查中的数字证据
- 使用过滤器
- 报告
- 探索即时通讯程序
- 网络浏览器研究
- 移动研究
- 提取地理位置数据
- 搜索案例中的文本序列
- 从云存储中提取和分析数据
- 使用书签突出显示研究过程中发现的重要证据
- 检查 Windows 系统文件
- Windows注册表分析
- SQLite数据库分析
- 数据恢复方法
- 检查 RAM 转储的技术
- 在取证调查中使用哈希计算器和哈希分析
- 加密文件分析
- 研究图形和视频文件的方法
- 分析技术在法医学研究中的应用
- 使用内置编程语言 Belkascripts 实现日常操作的自动化
- 实际练习
课程:Belkasoft 事件响应考试
本课程的目的是学习网络攻击取证调查的基础知识以及在调查中使用 Belkasoft 证据中心的可能性。 您将了解现代计算机网络攻击的主要向量,学习如何根据 MITRE ATT & CK 矩阵对计算机攻击进行分类,应用操作系统研究算法来确定妥协的事实并重建攻击者的行为,找出攻击者的行为工件的位置指示最后打开了哪些文件、操作系统在何处存储有关加载和运行可执行文件的信息、攻击者如何在网络中移动以及了解如何使用 BEC 探索这些工件。 您还将了解事件调查和远程访问确定对哪些系统日志事件感兴趣,并了解如何使用 BEC 调查它们。
该课程对于技术专家来说非常有用,他们可以确定成功入侵的原因,分析事件链和网络攻击的后果; 系统管理员; SOC 和 CERT/CSIRT 工作人员; 信息安全人员。
课程大纲
网络杀伤链描述了对受害者计算机(或计算机网络)进行任何技术攻击的主要阶段,如下所示:
SOC 员工(CERT、信息安全等)的行动旨在防止入侵者访问受保护的信息资源。
如果入侵者仍然渗透了受保护的基础设施,那么上述人员应尽量减少攻击者活动造成的损害,确定攻击是如何进行的,在受损的信息结构中重建攻击者的事件和行动顺序,并采取措施防止将来发生此类攻击。
在受损的信息基础设施中,可以发现以下类型的痕迹,表明网络(计算机)受到威胁:
所有此类痕迹都可以使用 Belkasoft 证据中心找到。
BEC 有一个“事件调查”模块,在分析存储介质时,其中放置有关工件的信息,可以帮助研究人员调查事件。
BEC 支持检查主要类型的 Windows 工件,这些工件指示正在调查的系统上启动可执行文件,包括 Amcache、Userassist、Prefetch、BAM/DAM、 、系统事件分析。
有关包含受感染系统中用户操作信息的跟踪信息可以通过以下形式呈现:
除其他信息外,此信息还包括有关可执行文件启动的信息:
有关运行文件“RDPWInst.exe”的信息。
有关攻击者停留在受感染系统上的信息可以在 Windows 注册表启动项、服务、计划任务、登录脚本、WMI 等中找到。 在以下屏幕截图中可以看到检测攻击者系统中的固定信息的示例:
通过创建运行 PowerShell 脚本的任务来锁定使用任务计划程序的攻击者。
使用 Windows Management Instrumentation (WMI) 修复攻击者。
使用登录脚本锁定攻击者。
例如,可以通过分析 Windows 系统日志(当攻击者使用 RDP 服务时)来检测攻击者在受感染计算机网络中的活动。
有关检测到的 RDP 连接的信息。
有关攻击者通过网络移动的信息。
因此,Belkasoft 证据中心能够帮助研究人员识别受攻击计算机网络中受感染的计算机,查找恶意软件启动的痕迹、系统中修复和在网络中移动的痕迹,以及攻击者在受感染计算机上活动的其他痕迹。
Belkasoft 事件响应考试培训课程介绍了如何进行此类研究并检测上述工件。
课程计划:
- 网络攻击的趋势。 攻击者的技术、工具、目标
- 使用威胁模型来了解攻击者的策略、技术和程序
- 网络杀伤链
- 事件响应算法:识别、定位、生成指标、搜索新的感染节点
- 使用 BEC 分析 Windows 系统
- 使用 BEC 识别恶意软件的主要感染方法、网络传播、持久性、网络活动
- 使用 BEC 识别受感染系统并恢复感染历史
- 实际练习
常见问题课程在哪里举行?
课程在 Group-IB 总部或外部地点(培训中心)举行。 培训师可以离开平台前往企业客户。
谁来授课?
Group-IB的培训师都是在取证调查、企业调查和信息安全事件响应方面拥有多年经验的从业者。
培训师的资格由众多国际证书确认:GCFA、MCFE、ACE、EnCE 等。
我们的培训师可以轻松找到与观众的共同语言,以通俗易懂的方式解释即使是最复杂的主题。 学生将学到许多有关计算机事件调查、检测和反击计算机攻击的方法的相关且有趣的信息,获得毕业后可以立即应用的真正实用知识。
这些课程是否会提供与 Belkasoft 产品无关的有用技能,或者如果没有该软件,这些技能将不适用?
即使不使用 Belkasoft 产品,培训期间获得的技能也将很有用。
初始测试包括哪些内容?
初级测试是对计算机取证基础知识的测试。 未计划测试 Belkasoft 和 Group-IB 产品的知识。
在哪里可以找到有关公司教育课程的信息?
在教育课程的框架内,Group-IB 培训事件响应、恶意软件研究、网络情报专家(威胁情报)、安全运营中心(SOC)工作专家、主动威胁搜索专家(威胁猎手)等方面的专家。 。 Group-IB 的作者课程的完整列表已提供 .
完成 Group-IB 和 Belkasoft 联合课程的学生可以获得什么奖金?
完成 Group-IB 和 Belkasoft 联合课程的学员将获得:
- 课程结业证书;
- 每月免费订阅 Belkasoft Evidence Center;
- 购买 Belkasoft 证据中心可享受 10% 的折扣。
我们提醒您,第一门课程于周一开始, 九月9, — 不要错过获得信息安全、计算机取证和事件响应领域独特知识的机会! 注册课程 .
来源在准备本文时,使用了 Oleg Skulkin 的演示文稿“使用基于主机的取证来获取成功的情报驱动事件响应的妥协指标”。
来源: habr.com