Geekly articles weekly

Cours communs Groupe-IB et Belkasoft: ce que nous enseignons et qui venir


Algorithmes et tactiques pour répondre aux incidents de sécurité de l'information, tendances des cyberattaques actuelles, approches pour enquêter sur les fuites de données dans les entreprises, rechercher des navigateurs et des appareils mobiles, analyser des fichiers cryptés, extraire des données de géolocalisation et analyser de grands volumes de données - tous ces sujets et d'autres peuvent être étudiés sur de nouveaux Cours communs Groupe-IB et Belkasoft. En août, nous avons annoncé le premier cours Belkasoft Digital Forensics, qui commence le 9 septembre, et après avoir reçu un grand nombre de questions, nous avons décidé de parler davantage de ce que les étudiants apprendraient, quelles connaissances, compétences et bonus (!) Seront reçus par ceux qui atteindront la fin . Tout d'abord.

Deux tout en un


L'idée de mener des cours de formation conjoints est apparue après que les étudiants des cours du groupe IB ont commencé à poser des questions sur un outil qui les aiderait à étudier les systèmes et réseaux informatiques compromis, et à combiner les fonctionnalités de divers utilitaires gratuits que nous recommandons d'utiliser pour répondre aux incidents. .

À notre avis, un tel outil pourrait être le Belkasoft Evidence Center (nous en avons déjà parlé dans un article d' Igor Mikhailov, «Key to the Start: the best software and hardware for computer forensics»). Par conséquent, nous avons développé avec Belkasoft deux cours de formation: Belkasoft Digital Forensics et Belkasoft Incident Response Examination .

IMPORTANT: les cours sont cohérents et interconnectés! Belkasoft Digital Forensics est dédié au Belkasoft Evidence Center, et Belkasoft Incident Response Examination enquête sur les incidents utilisant les produits Belkasoft. Autrement dit, avant de suivre le cours Belkasoft Incident Response Examination, nous vous recommandons fortement de suivre le cours Belkasoft Digital Forensics. Si vous commencez tout de suite avec un cours sur les enquêtes sur les incidents, l'auditeur peut avoir des lacunes malheureuses sur l'utilisation du Belkasoft Evidence Center, la recherche et la recherche d'artefacts médico-légaux. Cela peut conduire au fait que pendant la formation sur le cours Belkasoft Incident Response Examination, l'étudiant n'aura pas le temps de maîtriser le matériel ou empêchera le reste du groupe d'acquérir de nouvelles connaissances, car le formateur passera le temps de la formation à expliquer le matériel du cours Belkasoft Digital Forensics.

Informatique légale avec Belkasoft Evidence Center


L'objectif du cours Belkasoft Digital Forensics est de familiariser les étudiants avec le programme Belkasoft Evidence Center, de leur apprendre à utiliser ce programme pour collecter des preuves à partir de diverses sources (stockage cloud, mémoire vive (RAM), appareils mobiles, supports de stockage (disques durs, lecteurs flash, etc.) etc.), pour maîtriser les techniques et techniques médico-légales de base, les techniques médico-légales pour enquêter sur les artefacts Windows, les appareils mobiles, les vidages RAM. Vous apprendrez également à identifier et à documenter les artefacts des navigateurs et à échanger des programmes instantanément messages, créer des copies médico-légales de données provenant de diverses sources, récupérer des données de géolocalisation et rechercher des séquences de texte (recherche par mot-clé), utiliser des hachages lors de la recherche, analyser le registre Windows, maîtriser les compétences de recherche de bases de données SQLite inconnues, les bases de la recherche graphique et fichiers vidéo et techniques d'analyse utilisés lors des enquêtes.

Le cours sera utile aux experts spécialisés dans le domaine de l'expertise informatique technique (expertise informatique); les techniciens qui déterminent les raisons d'une invasion réussie analysent la chaîne des événements et les conséquences des cyberattaques; des spécialistes techniques qui identifient et documentent le vol (fuite) de données par un initié (contrevenant interne); Spécialistes e-Discovery; Employés SOC et CERT / CSIRT; agents de sécurité de l'information; passionnés d'informatique judiciaire.

Plan du cours:

  • Belkasoft Evidence Center (BEC): premières étapes
  • Création et traitement de cas dans BEC
  • Collection de preuves médico-légales avec BEC


  • Utiliser des filtres
  • Rapports
  • Recherche de programmes de messagerie instantanée


  • Recherche sur le navigateur Web


  • Recherche mobile
  • Récupération des données de géolocalisation


  • Rechercher des séquences de texte dans les cas
  • Extraire et analyser les données du stockage cloud
  • Utilisation de signets pour mettre en évidence les preuves importantes trouvées au cours de l'étude
  • Explorer les fichiers système de Windows


  • Analyse du registre Windows
  • Analyse de base de données SQLite


  • Méthodes de récupération de données
  • Méthodes de recherche de vidages de mémoire à accès aléatoire
  • Utilisation d'une calculatrice de hachage et d'une analyse de hachage dans la recherche médico-légale
  • Analyse des fichiers cryptés
  • Méthodes de recherche pour les fichiers graphiques et vidéo
  • L'utilisation de techniques analytiques dans la recherche médico-légale
  • Automatisez les actions de routine avec le langage de programmation intégré Belkascripts


  • Exercices pratiques

Cours: Belkasoft Incident Response Examination


Le but du cours est d'étudier les bases de l'enquête médico-légale des cyberattaques et les possibilités d'utiliser Belkasoft Evidence Center dans l'enquête. Vous découvrirez les principaux vecteurs d'attaques modernes sur les réseaux informatiques, apprendrez à classer les attaques informatiques basées sur la matrice MITRE ATT & CK, appliquerez des algorithmes de recherche de système d'exploitation pour établir le fait de compromettre et reconstruire les actions des attaquants, découvrirez où se trouvent les artefacts qui indiquent quels fichiers ont été ouverts en dernier , où le système d'exploitation stocke des informations sur le téléchargement et l'exécution de fichiers exécutables, comment les attaquants se sont déplacés sur le réseau et comment explorer ces artefacts à l'aide de BE C. Vous apprendrez également quels événements dans les journaux système présentent un intérêt pour enquêter sur les incidents et établir le fait de l'accès à distance et apprendre à les enquêter à l'aide de BEC.

Le cours sera utile aux spécialistes techniques qui déterminent les raisons d'une invasion réussie, analysent la chaîne des événements et les conséquences des cyberattaques; administrateurs système; Employés SOC et CERT / CSIRT; responsables de la sécurité de l'information.

Aperçu du cours


Cyber ​​Kill Chain décrit les principales étapes de toute attaque technique contre les ordinateurs de la victime (ou le réseau informatique) comme suit:

Les actions des salariés du SOC (CERT, sécurité de l'information, etc.) visent à empêcher les intrus de sécuriser les ressources informationnelles.

Si les attaquants ont néanmoins infiltré l'infrastructure protégée, les personnes susmentionnées devraient essayer de minimiser les dommages causés par l'activité des attaquants, déterminer comment l'attaque a été menée, reconstruire les événements et la séquence des actions des attaquants dans la structure de l'information compromise et prendre des mesures pour empêcher ce type d'attaque à l'avenir.

Dans une infrastructure d'informations compromise, les types de traces suivants peuvent être trouvés indiquant un réseau (ordinateur) compromis:


Toutes ces pistes peuvent être trouvées en utilisant le Belkasoft Evidence Center.

Le BEC dispose d'un module d'enquête sur les incidents qui, lors de l'analyse des supports de stockage, contient des informations sur les artefacts qui peuvent aider un chercheur à enquêter sur les incidents.


BEC prend en charge l'étude des principaux types d'artefacts Windows indiquant le lancement de fichiers exécutables dans le système à l'étude, y compris Amcache, Userassist, Prefetch, BAM / DAM, les fichiers de chronologie Windows 10 et l'analyse des événements système.

Les informations sur les traces contenant des informations sur les actions des utilisateurs dans un système compromis peuvent être présentées comme suit:


Ces informations, notamment, incluent des informations sur l'exécution des fichiers exécutables:

Informations sur le démarrage du fichier 'RDPWInst.exe'.

Des informations sur la réparation des attaquants dans les systèmes compromis peuvent être trouvées dans les clés de démarrage du registre Windows, les services, les tâches planifiées, les scripts d'ouverture de session, WMI, etc. Des exemples de détection d'informations sur la correction dans le système des attaquants peuvent être vus dans les captures d'écran suivantes:

Sécurisation des attaquants à l'aide du planificateur de tâches en créant une tâche qui lance un script PowerShell.

Sécurisation des attaquants à l'aide de Windows Management Instrumentation (WMI).

Sécurisation des attaquants avec un script de connexion.

Le mouvement des attaquants sur un réseau informatique compromis peut être détecté, par exemple, en analysant les journaux système de Windows (lorsque les attaquants utilisent le service RDP).

Informations sur les connexions RDP détectées.

Informations sur le mouvement des attaquants sur le réseau.

Ainsi, le Belkasoft Evidence Center est en mesure d'aider les chercheurs à identifier les ordinateurs compromis dans un réseau informatique attaqué, à trouver des traces de lancements de logiciels malveillants, des traces de connexion au système et de mouvement sur le réseau, et d'autres traces de l'activité de l'attaquant sur des ordinateurs compromis.

La manière de mener de telles études et de détecter les artefacts décrits ci-dessus est décrite dans le cours de formation Belkasoft Incident Response Examination.

Plan du cours:

  • Tendances des cyberattaques. Technologies, outils, cibles des attaquants
  • Utilisation de modèles de menace pour comprendre les tactiques, techniques et procédures d'attaque
  • Cyber ​​kill chain
  • L'algorithme de réponse aux incidents: identification, localisation, formation d'indicateurs, recherche de nouveaux nœuds infectés
  • Analyse du système Windows avec BEC
  • Identification des méthodes d'infection primaire, propagation sur le réseau, correction, activité réseau des logiciels malveillants à l'aide de BEC
  • Identifier les systèmes infectés et restaurer l'historique des infections à l'aide de BEC
  • Exercices pratiques

FAQ
Où se déroulent les cours?
Les cours ont lieu au siège du Groupe IB ou dans un lieu externe (centre de formation). Un formateur peut se rendre sur le site pour les entreprises clientes.

Qui dirige les cours?
Les formateurs du Groupe IB sont des praticiens ayant de nombreuses années d'expérience dans la conduite d'enquêtes médico-légales, d'enquêtes d'entreprise et de réponse aux incidents de sécurité de l'information.

La qualification des formateurs est confirmée par de nombreux certificats internationaux: GCFA, MCFE, ACE, EnCE, etc.

Nos formateurs trouvent facilement une langue commune avec le public, expliquant même les sujets les plus complexes. Les étudiants apprennent de nombreuses informations pertinentes et intéressantes sur l'enquête sur les incidents informatiques, les méthodes de détection et de lutte contre les attaques informatiques, et acquièrent de réelles connaissances pratiques qui peuvent être appliquées immédiatement après l'obtention du diplôme.

Les cours fourniront-ils des compétences utiles qui ne sont pas liées aux produits Belkasoft, ou sans ces logiciels, ces compétences ne seront pas applicables?
Les compétences acquises au cours de la formation seront utiles sans utiliser les produits Belkasoft.

Qu'est-ce qui est inclus dans le test initial?

Le test primaire est un test de connaissance des bases de la criminalistique informatique. Aucun test de connaissance des produits Belkasoft et Group-IB n'est prévu.

Où puis-je trouver des informations sur les cours de formation de l'entreprise?

Dans le cadre des formations, le Groupe-IB forme des spécialistes de la réponse aux incidents, de la recherche sur les logiciels malveillants, des spécialistes de la cyberintelligence (Threat Intelligence), des spécialistes du travail au Security Operation Center (SOC), des spécialistes de la recherche proactive des menaces (Threat Hunter), etc. . Une liste complète des cours sur le droit d'auteur du Groupe IB est disponible ici .

Quels bonus les étudiants qui ont suivi les cours communs Groupe-IB et Belkasoft reçoivent-ils?
Les personnes formées aux cours communs Groupe-IB et Belkasoft recevront:

  1. certificat d'achèvement;
  2. Abonnement mensuel gratuit à Belkasoft Evidence Center;
  3. 10% de réduction sur Belkasoft Evidence Center.

Nous vous rappelons que le premier cours commence le lundi 9 septembre - ne manquez pas l'occasion d'acquérir des connaissances uniques dans le domaine de la sécurité de l'information, de la criminalistique informatique et de la réponse aux incidents! Inscription au cours ici .

Les sources
Dans la préparation de l'article, la présentation d'Oleg Skulkin «Utilisation de la criminalistique basée sur l'hôte pour obtenir des indicateurs de compromis pour une réponse aux incidents réussie basée sur le renseignement» a été utilisée.

Source: https://habr.com/ru/post/fr466271/

More articles:


All Articles