應對資訊安全事件的演算法和策略、當前網路攻擊的趨勢、調查公司資料外洩的方法、研究瀏覽器和行動裝置、分析加密文件、提取地理位置資料和分析大量資料 - 所有這些和其他主題可以學習Group -IB 和Belkasoft 的新聯合課程。 八月我們 第一期 Belkasoft 數位鑑識課程於 9 月 XNUMX 日開始,在收到大量問題後,我們決定更詳細地討論學生將學習什麼,以及學習這些課程的人將獲得哪些知識、能力和獎金(!)到達終點。 首先要事。
二合一
在Group-IB 課程參與者開始詢問是否有一種工具可以幫助他們調查受感染的計算機系統和網絡,並結合我們建議在事件響應期間使用的各種免費實用程序的功能後,舉辦聯合培訓課程的想法就出現了。
我們認為,這樣的工具可能是 Belkasoft Evidence Center(我們已經在 伊戈爾·米哈伊洛夫(Igor Mikhailov)“開始的關鍵:電腦取證的最佳軟體和硬體”)。 因此,我們與 Belkasoft 一起開發了兩個培訓課程: Belkasoft 數位取證 и Belkasoft 事件回應檢查.
重要提示:課程是連續且相互關聯的! Belkasoft 數位取證致力於 Belkasoft 證據中心計劃,而 Belkasoft 事件回應檢查則致力於調查使用 Belkasoft 產品的事件。 也就是說,在學習 Belkasoft 事件回應考試課程之前,我們強烈建議您完成 Belkasoft 數位鑑識課程。 如果您立即開始學習事件調查課程,學生在使用 Belkasoft 證據中心、尋找和檢查法醫文物方面可能會遇到惱人的知識差距。 這可能會導致在 Belkasoft 事件回應考試課程的培訓期間,學生要么沒有時間掌握材料,要么會減慢小組其他成員獲取新知識的速度,因為培訓時間將花費在由培訓師解釋Belkasoft 數位取證課程的材料。
使用 Belkasoft 證據中心進行電腦取證
課程目的 Belkasoft 數位取證 — 向學生介紹 Belkasoft 證據中心程序,教他們使用該程序從各種來源(雲端儲存、隨機存取記憶體 (RAM)、行動裝置、儲存媒體(硬碟、隨身碟等))收集證據,掌握基本取證技術和技術、Windows 工件、行動裝置、RAM 轉儲的取證檢查方法。您還將學習識別和記錄瀏覽器和即時訊息程式的工件、建立來自各種來源的資料的取證副本、提取地理位置資料和搜尋對於文字序列(按關鍵字搜尋),在進行研究時使用哈希,分析 Windows 註冊表,掌握探索未知 SQLite 資料庫的技能、檢查圖形和視訊檔案的基礎知識以及調查期間使用的分析技術。
本課程對於電腦科技鑑識(電腦取證)領域的專家很有用; 技術專家確定成功入侵的原因,分析事件鍊和網路攻擊的後果; 技術專家識別並記錄內部人員(內部違規者)的資料竊取(洩漏); 電子證據開示專家; SOC 及 CERT/CSIRT 工作人員; 資訊安全員工; 電腦取證愛好者。
課程計畫:
- Belkasoft 證據中心 (BEC):第一步
- BEC 案例的建立與處理
- 使用 BEC 收集數位證據以進行取證調查
- 使用過濾器
- 報告
- 即時通訊程式研究
- 網路瀏覽器研究
- 行動裝置研究
- 提取地理位置數據
- 在案例中搜尋文字序列
- 從雲端儲存提取和分析數據
- 使用書籤突出顯示研究過程中發現的重要證據
- 檢查Windows系統檔案
- Windows登錄分析
- SQLite資料庫分析
- 資料復原方法
- 檢查 RAM 轉儲的技術
- 在取證研究中使用哈希計算器和哈希分析
- 加密檔案分析
- 研究圖形和視訊檔案的方法
- 分析技術在法醫學研究的應用
- 使用內建 Belkascripts 程式語言自動執行日常操作
- 實踐課程
課程:Belkasoft 事件回應考試
本課程的目的是學習網路攻擊取證調查的基礎知識以及在調查中使用 Belkasoft 證據中心的可能性。 您將了解現代電腦網路攻擊的主要向量,學習根據 MITRE ATT&CK 矩陣對電腦攻擊進行分類,應用作業系統研究演算法來確定妥協的事實並重建攻擊者的行為,了解工件位於何處指示最後打開了哪些文件、作業系統在何處儲存有關可執行檔如何載入和執行、攻擊者如何跨網路移動的信息,並了解如何使用BEC 調查這些工件。 您還將了解從事件調查和遠端存取偵測的角度來看系統日誌中的哪些事件是您感興趣的,並了解如何使用 BEC 來調查它們。
該課程對於技術專家來說非常有用,他們可以確定成功入侵的原因,分析事件鍊和網路攻擊的後果; 系統管理員; SOC 及 CERT/CSIRT 工作人員; 資訊安全人員。
課程大綱
網路殺傷鏈描述了對受害者電腦(或電腦網路)進行任何技術攻擊的主要階段,如下所示:
SOC 員工(CERT、資訊安全等)的行動旨在防止入侵者存取受保護的資訊資源。
如果攻擊者確實滲透了受保護的基礎設施,那麼上述人員應盡量減少攻擊者活動造成的損害,確定攻擊是如何進行的,在受損的資訊結構中重建攻擊者的事件和行動順序,並採取措施防止未來發生此類攻擊的措施。
在受損的資訊基礎設施中可以發現以下類型的痕跡,表明網路(電腦)已受到損害:
所有此類痕跡都可以使用 Belkasoft 證據中心程式找到。
BEC 有一個「事件調查」模組,在分析儲存媒體時,其中放置有關工件的信息,可以幫助研究人員調查事件。
BEC 支援檢查主要類型的 Windows 工件,這些工件指示所調查系統上可執行檔案的執行情況,包括 Amcache、Userassist、Prefetch、BAM/DAM 檔案、 ,系統事件分析。
有關包含受感染系統中使用者操作資訊的追蹤資訊可以透過以下形式呈現:
除其他資訊外,此資訊還包括有關運行可執行檔的資訊:
有關執行檔案“RDPWInst.exe”的資訊。
有關攻擊者在受感染系統中存在的資訊可以在 Windows 登錄啟動項目、服務、排程任務、登入腳本、WMI 等中找到。 偵測有關攻擊者附加到系統的資訊的範例可以在以下螢幕截圖中看到:
透過建立執行 PowerShell 腳本的任務來限制攻擊者使用任務排程器。
使用 Windows Management Instrumentation (WMI) 整合攻擊者。
使用登入腳本整合攻擊者。
例如,可以透過分析 Windows 系統日誌(如果攻擊者使用 RDP 服務)來偵測攻擊者在受感染電腦網路中的活動。
有關檢測到的 RDP 連接的資訊。
有關攻擊者在網路中移動的資訊。
因此,Belkasoft 證據中心可以幫助研究人員識別受攻擊電腦網路中受感染的計算機,尋找惡意軟體的啟動痕跡、系統中的固定痕跡和網路上的移動痕跡,以及受感染電腦上攻擊者活動的其他痕跡。
Belkasoft 事件回應考試訓練課程介紹如何進行此類研究並偵測上述工件。
課程計畫:
- 網路攻擊趨勢。 攻擊者的技術、工具、目標
- 使用威脅模型了解攻擊者的策略、技術和程序
- 網路殺傷鏈
- 事件回應演算法:辨識、定位、產生指標、搜尋新的感染節點
- 使用BEC分析Windows系統
- 使用 BEC 偵測惡意軟體的原發感染、網路傳播、整合和網路活動的方法
- 使用 BEC 識別受感染的系統並恢復感染歷史記錄
- 實踐課程
常見問題課程在哪裡舉行?
課程在 Group-IB 總部或外部地點(培訓中心)舉行。 培訓師可以與企業客戶一起前往現場。
誰來授課?
Group-IB 的培訓師都是在法證研究、企業調查和資訊安全事件回應方面擁有多年經驗的從業人員。
培訓師的資格得到許多國際證書的確認:GCFA、MCFE、ACE、EnCE等。
我們的培訓師可以輕鬆找到與觀眾的共同語言,甚至可以清楚地解釋最複雜的主題。 學生將學到許多有關調查計算機事件、識別和反擊計算機攻擊的方法的相關且有趣的信息,並獲得畢業後可以立即應用的真正實用知識。
這些課程是否會提供與 Belkasoft 產品無關的有用技能,或者如果沒有該軟體,這些技能將不適用?
培訓期間獲得的技能在不使用 Belkasoft 產品的情況下也將很有用。
初始測試包括哪些內容?
初級測試是對電腦取證基礎知識的測試。 沒有計劃測試 Belkasoft 和 Group-IB 產品的知識。
在哪裡可以找到有關公司教育課程的資訊?
作為教育課程的一部分,Group-IB 培訓事件響應、惡意軟體研究、網路情報專家(威脅情報)、安全運營中心(SOC)專家、主動威脅狩獵(威脅獵手)專家等。 。 提供 Group-IB 專有課程的完整列表 .
完成 Group-IB 和 Belkasoft 聯合課程的學生可以獲得哪些獎勵?
完成 Group-IB 和 Belkasoft 聯合課程培訓的人員將獲得:
- 課程結業證書;
- 每月免費訂閱 Belkasoft Evidence Center;
- 購買 Belkasoft Evidence Center 可享 10% 的折扣。
我們提醒您,第一門課程於週一開始, 九月9, - 不要錯過獲得資訊安全、電腦取證和事件回應領域獨特知識的機會! 註冊課程 .
來源在準備本文時,我們使用了 Oleg Skulkin 的演講「使用基於主機的取證來獲取成功的情報驅動事件回應的妥協指標」。
來源: www.habr.com