Geekly articles weekly

Gemeinsame Kurse zwischen Gruppe IB und Belkasoft: Was wir unterrichten und wer kommen wird


Algorithmen und Taktiken zur Reaktion auf Informationssicherheitsvorfälle, Trends bei aktuellen Cyberangriffen, Ansätze zur Untersuchung von Datenlecks in Unternehmen, zur Untersuchung von Browsern und Mobilgeräten, zur Analyse verschlüsselter Dateien, zum Extrahieren von Geolokalisierungsdaten und zur Analyse großer Datenmengen - all diese und andere Themen können zu neuen Themen untersucht werden Gemeinsame Group-IB- und Belkasoft-Kurse. Im August kündigten wir den ersten Belkasoft Digital Forensics-Kurs an, der am 9. September beginnt. Nachdem wir eine große Anzahl von Fragen erhalten hatten, beschlossen wir, detaillierter darüber zu sprechen, was die Schüler lernen werden, welche Kenntnisse, Kompetenzen und Boni (!) Diejenigen erhalten, die das Ende erreichen . Das Wichtigste zuerst.

Zwei in einem


Die Idee, gemeinsame Schulungskurse durchzuführen, entstand, nachdem Schüler von Group-IB-Kursen nach einem Tool gefragt hatten, das ihnen beim Studium gefährdeter Computersysteme und Netzwerke helfen könnte, und die Funktionalität verschiedener kostenloser Dienstprogramme kombiniert, die wir bei der Reaktion auf Vorfälle empfehlen .

Unserer Meinung nach könnte ein solches Tool das Belkasoft Evidence Center sein (darüber haben wir bereits in einem Artikel von Igor Mikhailov gesprochen: „Schlüssel zum Start: Die beste Software und Hardware für die Computerforensik“). Aus diesem Grund haben wir zusammen mit Belkasoft zwei Schulungskurse entwickelt: Belkasoft Digital Forensics und Belkasoft Incident Response Examination .

WICHTIG: Kurse sind konsistent und miteinander verbunden! Belkasoft Digital Forensics ist dem Belkasoft Evidence Center gewidmet, und die Belkasoft Incident Response Examination untersucht Vorfälle mit Belkasoft-Produkten. Das heißt, bevor Sie den Belkasoft Incident Response Examination-Kurs belegen, empfehlen wir Ihnen dringend, den Belkasoft Digital Forensics-Kurs zu belegen. Wenn Sie sofort mit einem Kurs zur Untersuchung von Vorfällen beginnen, kann der Hörer unglückliche Wissenslücken bei der Verwendung des Belkasoft Evidence Center, beim Auffinden und Erforschen von forensischen Artefakten haben. Dies kann dazu führen, dass der Student während des Trainings im Belkasoft Incident Response Examination-Kurs entweder keine Zeit hat, das Material zu beherrschen, oder den Rest der Gruppe daran hindert, neues Wissen zu erwerben, da der Trainer die Trainingszeit für die Erläuterung des Materials aus dem Belkasoft Digital Forensics-Kurs verwendet.

Computerforensik mit Belkasoft Evidence Center


Der Zweck des Belkasoft Digital Forensics- Kurses besteht darin, die Schüler mit dem Belkasoft Evidence Center-Programm vertraut zu machen und ihnen beizubringen, wie sie mit diesem Programm Beweise aus verschiedenen Quellen (Cloud-Speicher, Arbeitsspeicher (RAM), mobile Geräte, Speichermedien (Festplatten, Flash-Laufwerke usw.) sammeln können. usw.), um grundlegende forensische Techniken und Techniken zu beherrschen, forensische Techniken zur Untersuchung von Windows-Artefakten, Mobilgeräten und RAM-Dumps. Außerdem lernen Sie, Artefakte von Browsern zu identifizieren und zu dokumentieren und Programme sofort auszutauschen Nachrichten, forensische Kopien von Daten aus verschiedenen Quellen erstellen, Geolokalisierungsdaten abrufen und nach Textsequenzen suchen (Stichwortsuche), Hashes bei der Recherche verwenden, die Windows-Registrierung analysieren, die Fähigkeiten der Recherche unbekannter SQLite-Datenbanken beherrschen, die Grundlagen der Recherche grafischer Datenbanken und Videodateien und Analysetechniken, die während der Untersuchungen verwendet werden.

Der Kurs ist nützlich für Experten mit Spezialisierung auf dem Gebiet der computertechnischen Fachkenntnisse (Computerkenntnisse). Techniker, die die Gründe für eine erfolgreiche Invasion ermitteln, analysieren die Ereigniskette und die Folgen von Cyberangriffen. technische Spezialisten, die den Diebstahl (Verlust) von Daten durch einen Insider (internen Verstoß) identifizieren und dokumentieren; E-Discovery-Spezialisten; Mitarbeiter von SOC und CERT / CSIRT; Informationssicherheitsbeauftragte; Computerforensiker.

Kursplan:

  • Belkasoft Evidence Center (BEC): erste Schritte
  • Erstellen und Verarbeiten von Fällen in BEC
  • Forensic Evidence Collection mit BEC


  • Filter verwenden
  • Berichterstattung
  • Recherchieren von Instant Messaging-Programmen


  • Webbrowser-Recherche


  • Mobile Forschung
  • Abrufen von Geolokalisierungsdaten


  • Suchen Sie in bestimmten Fällen nach Textsequenzen
  • Extrahieren und analysieren Sie Daten aus dem Cloud-Speicher
  • Verwenden von Lesezeichen, um wichtige Beweise hervorzuheben, die während der Studie gefunden wurden
  • Erkunden von Windows-Systemdateien


  • Windows-Registrierungsanalyse
  • SQLite-Datenbankanalyse


  • Datenwiederherstellungsmethoden
  • Methoden zur Untersuchung von Dumps des Direktzugriffsspeichers
  • Verwendung eines Hash-Rechners und einer Hash-Analyse in der forensischen Forschung
  • Analyse verschlüsselter Dateien
  • Forschungsmethoden für Grafik- und Videodateien
  • Einsatz analytischer Techniken in der forensischen Forschung
  • Automatisieren Sie Routineaktionen mit der in Belkascripts integrierten Programmiersprache


  • Praktische Übungen

Kurs: Belkasoft Incident Response Examination


Ziel des Kurses ist es, die Grundlagen der forensischen Untersuchung von Cyberangriffen und die Möglichkeiten der Verwendung des Belkasoft Evidence Center bei der Untersuchung zu untersuchen. Sie lernen die wichtigsten Vektoren moderner Angriffe auf Computernetzwerke kennen, lernen, Computerangriffe anhand der MITRE ATT & CK-Matrix zu klassifizieren, wenden Algorithmen zur Betriebssystemforschung an, um die Tatsache von Kompromissen festzustellen und die Aktionen von Angreifern zu rekonstruieren, und finden heraus, wo sich Artefakte befinden, die angeben, welche Dateien zuletzt geöffnet wurden Hier speichert das Betriebssystem Informationen zum Herunterladen und Ausführen ausführbarer Dateien, wie sich Angreifer im Netzwerk bewegten und wie diese Artefakte mithilfe von BE untersucht werden C. Außerdem erfahren Sie, welche Ereignisse in den Systemprotokollen für die Untersuchung von Vorfällen und die Ermittlung des Remotezugriffs von Interesse sind, und erfahren, wie Sie diese mithilfe von BEC untersuchen.

Der Kurs ist nützlich für technische Spezialisten, die die Gründe für eine erfolgreiche Invasion ermitteln, die Ereigniskette und die Folgen von Cyberangriffen analysieren. Systemadministratoren; Mitarbeiter von SOC und CERT / CSIRT; Informationssicherheitsbeauftragte.

Kursübersicht


Cyber ​​Kill Chain beschreibt die Hauptphasen eines technischen Angriffs auf die Computer (oder das Computernetzwerk) des Opfers wie folgt:

Die Maßnahmen der SOC-Mitarbeiter (CERT, Informationssicherheit usw.) zielen darauf ab, Eindringlinge daran zu hindern, Informationsressourcen zu sichern.

Wenn die Angreifer dennoch in die geschützte Infrastruktur eingedrungen sind, sollten die oben genannten Personen versuchen, den Schaden durch die Aktivität der Angreifer zu minimieren, zu bestimmen, wie der Angriff ausgeführt wurde, die Ereignisse und die Reihenfolge der Angreifer in der gefährdeten Informationsstruktur zu rekonstruieren und Maßnahmen zu ergreifen, um diese Art von Angriff in Zukunft zu verhindern.

In einer gefährdeten Informationsinfrastruktur können die folgenden Arten von Spuren gefunden werden, die auf ein gefährdetes Netzwerk (Computer) hinweisen:


Alle diese Tracks können im Belkasoft Evidence Center gefunden werden.

Das BEC verfügt über ein Modul zur Untersuchung von Vorfällen, das bei der Analyse von Speichermedien Informationen zu Artefakten enthält, die einem Forscher bei der Untersuchung von Vorfällen helfen können.


BEC unterstützt die Untersuchung der wichtigsten Arten von Windows-Artefakten, die auf den Start ausführbarer Dateien im untersuchten System hinweisen, einschließlich Amcache-, Userassist-, Prefetch-, BAM / DAM-, Windows 10-Timeline- Dateien und die Analyse von Systemereignissen.

Informationen zu Traces, die Informationen zu Benutzeraktionen in einem gefährdeten System enthalten, können wie folgt dargestellt werden:


Diese Informationen enthalten Informationen zum Ausführen ausführbarer Dateien:

Informationen zum Starten der Datei 'RDPWInst.exe'.

Informationen zum Beheben von Angreifern in gefährdeten Systemen finden Sie in den Startschlüsseln, Diensten, geplanten Aufgaben, Anmeldeskripten, WMI usw. der Windows-Registrierung. Beispiele für die Erkennung von Informationen zur Behebung im System der Angreifer sind in den folgenden Screenshots zu sehen:

Sichern von Angreifern mithilfe des Aufgabenplaners durch Erstellen einer Aufgabe, mit der ein PowerShell-Skript gestartet wird.

Sichern von Angreifern mithilfe von Windows Management Instrumentation (WMI).

Sichern von Angreifern mit einem Anmeldeskript.

Die Bewegung von Angreifern über ein gefährdetes Computernetzwerk kann beispielsweise durch Analysieren von Windows-Systemprotokollen (wenn die Angreifer den RDP-Dienst verwenden) erkannt werden.

Informationen zu erkannten RDP-Verbindungen.

Informationen über die Bewegung von Angreifern über das Netzwerk.

Auf diese Weise kann das Belkasoft Evidence Center Forschern helfen, gefährdete Computer in einem angegriffenen Computernetzwerk zu identifizieren, Spuren von Malware-Starts, Spuren von Anhaftungen an das System und Bewegungen durch das Netzwerk sowie andere Spuren von angreifenden Computern zu finden, die kompromittiert wurden.

Wie Sie solche Studien durchführen und die oben beschriebenen Artefakte erkennen, finden Sie im Schulungskurs zur Belkasoft Incident Response Examination.

Kursplan:

  • Trends bei Cyberangriffen. Technologien, Tools, Ziele von Angreifern
  • Verwenden von Bedrohungsmodellen, um Angriffstaktiken, -techniken und -verfahren zu verstehen
  • Cyber-Kill-Kette
  • Der Incident-Response-Algorithmus: Identifizierung, Lokalisierung, Bildung von Indikatoren, Suche nach neuen infizierten Knoten
  • Windows-Systemanalyse mit BEC
  • Identifizierung von Methoden der Primärinfektion, Verbreitung über das Netzwerk, Behebung und Netzwerkaktivität von Malware mithilfe von BEC
  • Identifizieren Sie infizierte Systeme und stellen Sie den Infektionsverlauf mithilfe von BEC wieder her
  • Praktische Übungen

FAQ
Wo finden die Kurse statt?
Die Kurse finden in der Group-IB-Zentrale oder an einem externen Ort (Schulungszentrum) statt. Ein Trainer kann Firmenkunden auf die Website gehen.

Wer leitet den Unterricht?
Die Trainer der Gruppe IB sind Praktiker mit langjähriger Erfahrung in der Durchführung von forensischen Untersuchungen, Unternehmensuntersuchungen und der Reaktion auf Vorfälle im Bereich der Informationssicherheit.

Die Qualifikation von Trainern wird durch zahlreiche internationale Zertifikate bestätigt: GCFA, MCFE, ACE, EnCE usw.

Unsere Trainer finden leicht eine gemeinsame Sprache mit dem Publikum und erklären selbst die komplexesten Themen. Die Studierenden lernen viele relevante und interessante Informationen über die Untersuchung von Computervorfällen, Methoden zur Erkennung und Bekämpfung von Computerangriffen und erhalten echte praktische Kenntnisse, die sie unmittelbar nach dem Abschluss anwenden können.

Werden die Kurse nützliche Fähigkeiten vermitteln, die nicht mit Belkasoft-Produkten zusammenhängen, oder ohne diese Software sind diese Fähigkeiten nicht anwendbar?
Die während des Trainings erworbenen Fähigkeiten sind nützlich, ohne Belkasoft-Produkte zu verwenden.

Was ist in den ersten Tests enthalten?

Primärtests sind Tests der Kenntnisse der Grundlagen der Computerforensik. Es sind keine Wissenstests für Belkasoft- und Group-IB-Produkte geplant.

Wo finde ich Informationen zu den Schulungskursen des Unternehmens?

Im Rahmen der Schulungen bildet Group-IB Spezialisten für Incident Response, Malware-Forschung, Cyber ​​Intelligence-Spezialisten (Threat Intelligence), Spezialisten für das Security Operation Center (SOC), Spezialisten für proaktive Bedrohungssuche (Threat Hunter) usw. aus. . Eine vollständige Liste der Copyright-Kurse von Group-IB finden Sie hier .

Welche Prämien erhalten Studenten, die die gemeinsamen Kurse von Group-IB und Belkasoft abgeschlossen haben?
Diejenigen, die in den gemeinsamen Kursen von Group-IB und Belkasoft geschult wurden, erhalten:

  1. Abschlusszertifikat;
  2. Kostenloses monatliches Abonnement für das Belkasoft Evidence Center;
  3. 10% Rabatt auf das Belkasoft Evidence Center.

Wir erinnern Sie daran, dass der erste Kurs am Montag, dem 9. September , beginnt. Verpassen Sie nicht die Gelegenheit, sich einzigartige Kenntnisse auf dem Gebiet der Informationssicherheit, Computerforensik und Reaktion auf Vorfälle anzueignen! Anmeldung zum Kurs hier .

Quellen
Bei der Vorbereitung des Artikels wurde Oleg Skulkins Präsentation "Verwenden der hostbasierten Forensik, um Indikatoren für Kompromisse für eine erfolgreiche nachrichtendienstliche Reaktion auf Vorfälle zu erhalten" verwendet.

Source: https://habr.com/ru/post/de466271/

More articles:


All Articles