Geekly articles weekly

Cursos conjuntos Grupo-IB y Belkasoft: qué enseñamos y a quién acudir


Algoritmos y tácticas para responder a incidentes de seguridad de la información, tendencias en ciberataques actuales, enfoques para investigar fugas de datos en empresas, investigar navegadores y dispositivos móviles, analizar archivos cifrados, extraer datos de geolocalización y analizar grandes volúmenes de datos: todos estos y otros temas pueden explorarse en nuevos temas Cursos conjuntos Grupo-IB y Belkasoft. En agosto, anunciamos el primer curso de análisis forense digital de Belkasoft, que comienza el 9 de septiembre, y después de recibir una gran cantidad de preguntas, decidimos hablar más sobre lo que aprenderán los estudiantes, qué conocimientos, competencias y bonificaciones (!) Recibirán los que lleguen al final . Lo primero es lo primero.

Dos todo en uno


La idea de realizar cursos de capacitación conjunta surgió después de que los estudiantes de los cursos del Grupo IB comenzaron a preguntar sobre una herramienta que los ayudaría en el estudio de redes y sistemas informáticos comprometidos, y combinaron la funcionalidad de varias utilidades gratuitas que recomendamos utilizar al responder a incidentes. .

En nuestra opinión, dicha herramienta podría ser el Centro de Evidencia de Belkasoft (ya lo hablamos en un artículo de Igor Mikhailov, "Clave para el inicio: el mejor software y hardware para informática forense"). Por lo tanto, nosotros, junto con Belkasoft, desarrollamos dos cursos de capacitación: Belkasoft Digital Forensics y Belkasoft Incident Response Examination .

IMPORTANTE: ¡los cursos son consistentes e interconectados! Belkasoft Digital Forensics está dedicado al Centro de Evidencia de Belkasoft, y el Examen de Respuesta a Incidentes de Belkasoft está investigando incidentes utilizando los productos de Belkasoft. Es decir, antes de tomar el curso de examen de respuesta a incidentes de Belkasoft, le recomendamos encarecidamente que tome el curso de análisis forense digital de Belkasoft. Si comienza de inmediato con un curso sobre investigación de incidentes, el oyente puede tener brechas de conocimiento desafortunadas sobre el uso del Centro de Evidencia Belkasoft, encontrar e investigar artefactos forenses. Esto puede llevar al hecho de que durante la capacitación en el curso de Examen de respuesta a incidentes de Belkasoft, el estudiante no tendrá tiempo para dominar el material o inhibirá al resto del grupo para adquirir nuevos conocimientos, ya que el capacitador dedicará el tiempo de capacitación a explicar el material del curso de Análisis forense digital de Belkasoft.

Informática forense con Belkasoft Evidence Center


El objetivo del curso Belkasoft Digital Forensics es familiarizar a los estudiantes con el programa Belkasoft Evidence Center, enseñarles cómo usar este programa para recopilar evidencia de varias fuentes (almacenamiento en la nube, memoria de acceso aleatorio (RAM), dispositivos móviles, medios de almacenamiento (discos duros, unidades flash, etc.) etc.), para dominar técnicas y técnicas forenses básicas, técnicas forenses para investigar artefactos de Windows, dispositivos móviles, volcados de RAM. También aprenderá a identificar y documentar artefactos de navegadores e intercambiar programas al instante mensajes, crear copias forenses de datos de varias fuentes, recuperar datos de geolocalización y buscar secuencias de texto (búsqueda de palabras clave), usar hashes al realizar investigaciones, analizar el registro de Windows, dominar las habilidades de investigación de bases de datos SQLite desconocidas, los fundamentos de la investigación gráfica y archivos de video y técnicas analíticas utilizadas durante las investigaciones.

El curso será útil para expertos con especialización en el campo de los conocimientos técnicos informáticos (conocimientos informáticos); los técnicos que determinan las razones de una invasión exitosa analizan la cadena de eventos y las consecuencias de los ataques cibernéticos; especialistas técnicos que identifican y documentan el robo (fuga) de datos por un informante (infractor interno); especialistas en e-Discovery; Empleados de SOC y CERT / CSIRT; oficiales de seguridad de la información; entusiastas de la informática forense.

Plan de curso:

  • Belkasoft Evidence Center (BEC): primeros pasos
  • Crear y procesar casos en BEC
  • Colección de evidencia forense con BEC


  • Usando filtros
  • Informes
  • Investigación de programas de mensajería instantánea


  • Investigación del navegador web


  • Investigación móvil
  • Recuperación de datos de geolocalización


  • Buscar secuencias de texto en casos
  • Extraiga y analice datos del almacenamiento en la nube
  • Uso de marcadores para resaltar evidencia significativa encontrada durante el estudio
  • Explorando archivos del sistema de Windows


  • Análisis de registro de Windows
  • Análisis de base de datos SQLite


  • Métodos de recuperación de datos
  • Métodos de investigación de volcados de memoria de acceso aleatorio.
  • Uso de una calculadora hash y análisis hash en investigación forense
  • Análisis de archivos encriptados
  • Métodos de investigación para archivos gráficos y de video.
  • El uso de técnicas analíticas en la investigación forense.
  • Automatice las acciones de rutina con el lenguaje de programación incorporado Belkascripts


  • Ejercicios prácticos

Curso: Examen de respuesta a incidentes de Belkasoft


El objetivo del curso es estudiar los conceptos básicos de la investigación forense de los ciberataques y las posibilidades de utilizar el Centro de Evidencia Belkasoft en la investigación. Aprenderá sobre los principales vectores de los ataques modernos en las redes informáticas, aprenderá a clasificar los ataques informáticos basados ​​en la matriz MITER ATT & CK, aplicará algoritmos de investigación del sistema operativo para establecer el hecho del compromiso y reconstruirá las acciones del atacante, descubrirá dónde se encuentran los artefactos que indican qué archivos se abrieron por última vez , donde el sistema operativo almacena información sobre la descarga y ejecución de archivos ejecutables, cómo los atacantes se movieron a través de la red y cómo explorar estos artefactos con BE C. También aprenderá qué eventos en los registros del sistema son de interés en términos de investigar incidentes y establecer el hecho del acceso remoto y aprenderá cómo investigarlos utilizando BEC.

El curso será útil para especialistas técnicos que determinan las razones de una invasión exitosa, analizan la cadena de eventos y las consecuencias de los ataques cibernéticos; administradores del sistema; Empleados de SOC y CERT / CSIRT; oficiales de seguridad de la información.

Resumen del curso


Cyber ​​Kill Chain describe las etapas principales de cualquier ataque técnico en las computadoras de la víctima (o red de computadoras) de la siguiente manera:

Las acciones de los empleados de SOC (CERT, seguridad de la información, etc.) tienen como objetivo evitar que los intrusos aseguren los recursos de información.

Sin embargo, si los atacantes se infiltraron en la infraestructura protegida, las personas mencionadas anteriormente deberían tratar de minimizar el daño de la actividad de los atacantes, determinar cómo se llevó a cabo el ataque, reconstruir los eventos y la secuencia de acciones de los atacantes en la estructura de información comprometida y tomar medidas para prevenir este tipo de ataque en el futuro.

En una infraestructura de información comprometida, se pueden encontrar los siguientes tipos de trazas que indican una red comprometida (computadora):


Todas estas pistas se pueden encontrar utilizando el Centro de Evidencia de Belkasoft.

El BEC tiene un módulo de Investigación de incidentes que, al analizar los medios de almacenamiento, contiene información sobre artefactos que pueden ayudar a un investigador a investigar incidentes.


BEC admite el estudio de los principales tipos de artefactos de Windows que indican el lanzamiento de archivos ejecutables en el sistema en estudio, incluidos Amcache, Userassist, Prefetch, BAM / DAM, archivos de Windows 10 Timeline y análisis de eventos del sistema.

La información sobre las trazas que contienen información sobre las acciones del usuario en un sistema comprometido se puede presentar de la siguiente manera:


Esta información, incluida, incluye información sobre la ejecución de archivos ejecutables:

Información sobre cómo iniciar el archivo 'RDPWInst.exe'.

Se puede encontrar información sobre cómo reparar atacantes en sistemas comprometidos en las claves de inicio del registro de Windows, servicios, tareas programadas, secuencias de comandos de inicio de sesión, WMI, etc. Se pueden ver ejemplos de detección de información sobre la fijación en el sistema de atacantes en las siguientes capturas de pantalla:

Asegurar a los atacantes utilizando el programador de tareas creando una tarea que inicie un script de PowerShell.

Protección de atacantes con el Instrumental de administración de Windows (WMI).

Asegurar a los atacantes con un script de inicio de sesión.

El movimiento de los atacantes a través de una red informática comprometida se puede detectar, por ejemplo, analizando los registros del sistema de Windows (cuando los atacantes usan el servicio RDP).

Información sobre conexiones RDP detectadas.

Información sobre el movimiento de atacantes en la red.

Por lo tanto, el Centro de Evidencia Belkasoft puede ayudar a los investigadores a identificar computadoras comprometidas en una red informática atacada, encontrar rastros de lanzamientos de malware, rastros de conexión al sistema y movimiento en la red, y otros rastros de la actividad del atacante en computadoras comprometidas.

La forma de llevar a cabo tales estudios y detectar los artefactos descritos anteriormente se describe en el curso de capacitación de Examen de respuesta a incidentes de Belkasoft.

Plan de curso:

  • Tendencias en ciberataques. Tecnologías, herramientas, objetivos de los atacantes.
  • Usar modelos de amenazas para comprender tácticas, técnicas y procedimientos de ataque.
  • Cyber ​​kill chain
  • El algoritmo de respuesta a incidentes: identificación, localización, formación de indicadores, búsqueda de nuevos nodos infectados.
  • Análisis del sistema de Windows con BEC
  • Identificación de métodos de infección primaria, propagación a través de la red, reparación, actividad de red de malware utilizando BEC
  • Identifique los sistemas infectados y restaure el historial de infecciones usando BEC
  • Ejercicios prácticos

FAQ
¿Dónde se imparten los cursos?
Los cursos se imparten en la sede del Grupo IB o en un lugar externo (centro de formación). Un entrenador puede ir al sitio a clientes corporativos.

¿Quién dirige las clases?
Los formadores del Grupo IB son profesionales con muchos años de experiencia en la realización de investigaciones forenses, investigaciones corporativas y respuesta a incidentes de seguridad de la información.

La calificación de los formadores está confirmada por numerosos certificados internacionales: GCFA, MCFE, ACE, EnCE, etc.

Nuestros entrenadores encuentran fácilmente un lenguaje común con la audiencia, explicando incluso los temas más complejos. Los estudiantes aprenden mucha información relevante e interesante sobre la investigación de incidentes informáticos, métodos para detectar y contrarrestar ataques informáticos, y obtienen un conocimiento práctico real que puede aplicarse inmediatamente después de la graduación.

¿Los cursos proporcionarán habilidades útiles que no están relacionadas con los productos de Belkasoft, o sin este software, estas habilidades no serán aplicables?
Las habilidades adquiridas durante la capacitación serán útiles sin utilizar los productos Belkasoft.

¿Qué se incluye en la prueba inicial?

La prueba primaria es una prueba de conocimiento de los conceptos básicos de informática forense. No se planean pruebas de conocimiento de los productos de Belkasoft y Group-IB.

¿Dónde puedo encontrar información sobre los cursos educativos de la compañía?

Como parte de los cursos de capacitación, Group-IB capacita a especialistas en respuesta a incidentes, investigación de malware, especialistas en ciberinteligencia (Threat Intelligence), especialistas para trabajar en el Centro de Operaciones de Seguridad (SOC), especialistas en búsqueda proactiva de amenazas (Threat Hunter), etc. . Una lista completa de los cursos de copyright del Grupo IB está disponible aquí .

¿Qué bonos reciben los estudiantes que han completado los cursos conjuntos del Grupo IB y Belkasoft?
Aquellos capacitados en los cursos conjuntos del Grupo IB y Belkasoft recibirán:

  1. certificado de finalización;
  2. Suscripción mensual gratuita a Belkasoft Evidence Center;
  3. 10% de descuento en Belkasoft Evidence Center.

Le recordamos que el primer curso comienza el lunes 9 de septiembre , ¡no pierda la oportunidad de obtener un conocimiento único en el campo de la seguridad de la información, informática forense y respuesta a incidentes! Inscripción para el curso aquí .

Fuentes
Al preparar el artículo, se utilizó la presentación de Oleg Skulkin "Uso del análisis forense basado en el host para obtener indicadores de compromiso para una respuesta exitosa a incidentes basada en inteligencia".

Source: https://habr.com/ru/post/466271/

More articles:


All Articles