Geekly articles weekly

Kursus Bersama Group-IB dan Belkasoft: apa yang kami ajarkan dan siapa yang akan datang


Algoritma dan taktik untuk menanggapi insiden keamanan informasi, tren serangan cyber saat ini, pendekatan untuk menyelidiki kebocoran data di perusahaan, meneliti peramban dan perangkat seluler, menganalisis file terenkripsi, mengekstraksi data geolokasi dan menganalisis data dalam volume besar - semua topik ini dan topik lainnya dapat dieksplorasi pada topik baru Kursus Bersama Group-IB dan Belkasoft. Pada bulan Agustus, kami mengumumkan kursus Belkasoft Digital Forensics pertama, yang dimulai pada 9 September, dan setelah menerima sejumlah besar pertanyaan, kami memutuskan untuk berbicara lebih detail tentang apa yang akan dipelajari siswa, pengetahuan, kompetensi, dan bonus apa (!) Yang akan diterima oleh mereka yang mencapai akhir . Hal pertama yang pertama.

Dua Semua Dalam Satu


Gagasan melakukan kursus pelatihan bersama muncul setelah siswa kursus Grup-IB mulai bertanya tentang alat yang akan membantu mereka dalam mempelajari sistem dan jaringan komputer yang dikompromikan, dan menggabungkan fungsionalitas berbagai utilitas gratis yang kami rekomendasikan untuk digunakan ketika menanggapi insiden. .

Menurut pendapat kami, alat seperti itu bisa menjadi Belkasoft Evidence Center (kami sudah membicarakannya dalam sebuah artikel oleh Igor Mikhailov, "Kunci untuk Memulai: perangkat lunak dan perangkat keras terbaik untuk forensik komputer"). Oleh karena itu, kami, bersama dengan Belkasoft, mengembangkan dua kursus pelatihan: Belkasoft Digital Forensics dan Belkasoft Incident Response Examination .

PENTING: kursus konsisten dan saling berhubungan! Belkasoft Digital Forensics didedikasikan untuk Belkasoft Evidence Center, dan Belkasoft Incident Response Examination sedang menyelidiki insiden menggunakan produk Belkasoft. Artinya, sebelum mengikuti kursus Pemeriksaan Respons Insiden Belkasoft, kami sangat menyarankan agar Anda mengikuti kursus Belkasoft Digital Forensics. Jika Anda segera memulai dengan kursus investigasi insiden, pendengar mungkin memiliki kesenjangan pengetahuan yang tidak menguntungkan dalam menggunakan Belkasoft Evidence Center, menemukan dan meneliti artefak forensik. Hal ini dapat mengarah pada fakta bahwa selama pelatihan pada kursus Pemeriksaan Respon Insiden Belkasoft, siswa tidak akan memiliki waktu untuk menguasai materi, atau akan menghambat anggota kelompok lainnya dalam memperoleh pengetahuan baru, karena waktu pelatihan akan dihabiskan oleh pelatih untuk menjelaskan materi dari kursus Belkasoft Digital Forensics.

Komputer Forensik dengan Belkasoft Evidence Center


Tujuan dari kursus Belkasoft Digital Forensics adalah untuk membiasakan siswa dengan program Belkasoft Evidence Center, mengajari mereka cara menggunakan program ini untuk mengumpulkan bukti dari berbagai sumber (penyimpanan awan, memori akses acak (RAM), perangkat seluler, media penyimpanan (hard drive, flash drive, dll.) dll), untuk menguasai teknik dan teknik forensik dasar, teknik forensik untuk menyelidiki artefak Windows, perangkat seluler, dump RAM. Anda juga akan belajar mengidentifikasi dan mendokumentasikan artefak browser dan program pertukaran secara instan pesan, membuat salinan forensik data dari berbagai sumber, mengambil data geolokasi dan mencari urutan teks (pencarian kata kunci), menggunakan hash saat melakukan penelitian, menganalisis registri Windows, menguasai keterampilan meneliti basis data SQLite yang tidak diketahui, dasar-dasar penelitian grafis dan file video dan teknik analisis yang digunakan selama investigasi.

Kursus ini akan berguna bagi para ahli dengan spesialisasi di bidang keahlian teknis-komputer (keahlian komputer); teknisi yang menentukan alasan invasi yang berhasil menganalisis rantai peristiwa dan konsekuensi dari serangan dunia maya; spesialis teknis yang mengidentifikasi dan mendokumentasikan pencurian (kebocoran) data oleh orang dalam (pelanggar internal); spesialis e-Discovery; Karyawan SOC dan CERT / CSIRT; petugas keamanan informasi; penggemar forensik komputer.

Rencana Kursus:

  • Belkasoft Evidence Center (BEC): langkah pertama
  • Membuat dan memproses kasus dalam BEC
  • Pengumpulan Bukti Forensik dengan BEC


  • Menggunakan filter
  • Pelaporan
  • Meneliti Program Pesan Instan


  • Penelitian Browser Web


  • Penelitian seluler
  • Pengambilan data geolokasi


  • Cari urutan teks dalam kasus
  • Ekstrak dan analisis data dari penyimpanan cloud
  • Menggunakan penanda untuk menyoroti bukti signifikan yang ditemukan selama penelitian
  • Menjelajahi File Sistem Windows


  • Analisis registri Windows
  • Analisis Basis Data SQLite


  • Metode Pemulihan Data
  • Metode penelitian kesedihan memori akses acak
  • Menggunakan kalkulator hash dan analisis hash dalam penelitian forensik
  • Analisis file terenkripsi
  • Metode penelitian untuk file grafik dan video
  • Penggunaan teknik analitik dalam penelitian forensik
  • Otomatiskan tindakan rutin dengan bahasa pemrograman bawaan Belkascripts


  • Latihan praktis

Kursus: Pemeriksaan Respons Insiden Belkasoft


Tujuan kursus adalah untuk mempelajari dasar-dasar penyelidikan forensik serangan siber dan kemungkinan menggunakan Belkasoft Evidence Center dalam penyelidikan. Anda akan belajar tentang vektor utama serangan modern pada jaringan komputer, belajar untuk mengklasifikasikan serangan komputer berdasarkan matriks MITER ATT & CK, menerapkan algoritma penelitian sistem operasi untuk menetapkan fakta kompromi dan merekonstruksi tindakan penyerang, mencari tahu di mana artefak berada yang menunjukkan file mana yang dibuka terakhir , tempat sistem operasi menyimpan informasi tentang mengunduh dan menjalankan file yang dapat dieksekusi, bagaimana penyerang bergerak melintasi jaringan, dan mempelajari cara menjelajahi artefak ini menggunakan BE C. Anda juga akan belajar peristiwa mana dalam log sistem yang menarik dalam hal menyelidiki insiden dan menetapkan fakta akses jarak jauh dan belajar bagaimana menyelidiki mereka menggunakan BEC.

Kursus ini akan berguna bagi spesialis teknis yang menentukan alasan invasi yang berhasil, menganalisis rantai peristiwa dan konsekuensi dari serangan siber; administrator sistem; Karyawan SOC dan CERT / CSIRT; petugas keamanan informasi.

Ikhtisar Kursus


Cyber ​​Kill Chain menjelaskan tahapan utama dari setiap serangan teknis pada komputer korban (atau jaringan komputer) sebagai berikut:

Tindakan karyawan SOC (CERT, keamanan informasi, dll.) Bertujuan mencegah penyusup mengamankan sumber daya informasi.

Jika penyerang tetap menembus infrastruktur yang dilindungi, maka orang-orang yang disebutkan di atas harus mencoba untuk meminimalkan kerusakan dari aktivitas penyerang, menentukan bagaimana serangan itu dilakukan, merekonstruksi peristiwa dan urutan penyerang dalam struktur informasi yang dikompromikan dan mengambil langkah-langkah untuk mencegah jenis serangan ini di masa depan.

Dalam infrastruktur informasi yang dikompromikan, jenis jejak berikut dapat ditemukan yang menunjukkan jaringan yang dikompromikan (komputer):


Semua trek tersebut dapat ditemukan menggunakan Belkasoft Evidence Center.

BEC memiliki modul Investigasi Insiden, yang, ketika menganalisis media penyimpanan, berisi informasi tentang artefak yang dapat membantu peneliti menyelidiki insiden.


BEC mendukung studi tentang jenis utama artefak Windows yang mengindikasikan eksekusi file yang dapat dieksekusi dalam sistem yang diteliti, termasuk Amcache, Userassist, Prefetch, BAM / DAM, file Windows 10 Timeline , dan analisis peristiwa sistem.

Informasi tentang jejak yang mengandung informasi tentang tindakan pengguna dalam sistem yang dikompromikan dapat disajikan sebagai berikut:


Informasi ini, termasuk, termasuk informasi tentang menjalankan file yang dapat dieksekusi:

Informasi tentang memulai file 'RDPWInst.exe'.

Informasi tentang memperbaiki penyerang dalam sistem yang dikompromikan dapat ditemukan di kunci startup registri Windows, layanan, tugas yang dijadwalkan, skrip logon, WMI, dll. Contoh deteksi informasi tentang perbaikan dalam sistem penyerang dapat dilihat pada tangkapan layar berikut:

Mengamankan penyerang menggunakan penjadwal tugas dengan membuat tugas yang meluncurkan skrip PowerShell.

Mengamankan penyerang menggunakan Windows Management Instrumentation (WMI).

Mengamankan penyerang dengan skrip Logon.

Pergerakan penyerang melalui jaringan komputer yang dikompromikan dapat dideteksi, misalnya, dengan menganalisis log sistem Windows (ketika penyerang menggunakan layanan RDP).

Informasi tentang koneksi RDP yang terdeteksi.

Informasi tentang pergerakan penyerang melalui jaringan.

Dengan demikian, Belkasoft Evidence Center dapat membantu peneliti mengidentifikasi komputer yang dikompromikan dalam jaringan komputer yang diserang, menemukan jejak peluncuran malware, jejak keterikatan pada sistem dan pergerakan melalui jaringan, dan jejak lain dari komputer penyerang yang telah dikompromikan.

Cara melakukan studi tersebut dan mendeteksi artefak yang dijelaskan di atas dijelaskan dalam kursus pelatihan Pemeriksaan Respons Insiden Belkasoft.

Rencana Kursus:

  • Tren serangan siber. Teknologi, alat, target penyerang
  • Menggunakan model ancaman untuk memahami taktik, teknik, dan prosedur menyerang
  • Rantai pembunuhan dunia maya
  • Algoritma respons kejadian: identifikasi, pelokalan, pembentukan indikator, pencarian node yang baru terinfeksi
  • Analisis Sistem Windows dengan BEC
  • Identifikasi metode infeksi primer, menyebar melalui jaringan, memperbaiki, aktivitas jaringan malware menggunakan BEC
  • Identifikasi sistem yang terinfeksi dan kembalikan riwayat infeksi menggunakan BEC
  • Latihan praktis

Faq
Di mana kursus diadakan?
Kursus diadakan di markas Grup-IB atau di tempat eksternal (pusat pelatihan). Seorang pelatih dapat pergi ke situs untuk pelanggan korporat.

Siapa yang memimpin kelas?
Pelatih di Group-IB adalah praktisi dengan pengalaman bertahun-tahun dalam melakukan investigasi forensik, investigasi perusahaan dan respon insiden keamanan informasi.

Kualifikasi pelatih dikonfirmasi oleh berbagai sertifikat internasional: GCFA, MCFE, ACE, ENCE, dll.

Pelatih kami dengan mudah menemukan bahasa yang sama dengan audiens, menjelaskan bahkan topik yang paling rumit. Siswa akan belajar banyak informasi yang relevan dan menarik tentang penyelidikan insiden komputer, metode untuk mendeteksi dan melawan serangan komputer, dan mendapatkan pengetahuan praktis nyata yang dapat mereka terapkan segera setelah lulus.

Apakah kursus akan memberikan keterampilan yang bermanfaat yang tidak terkait dengan produk Belkasoft, atau tanpa perangkat lunak ini, keterampilan ini tidak akan berlaku?
Keterampilan yang diperoleh selama pelatihan akan bermanfaat tanpa menggunakan produk Belkasoft.

Apa yang termasuk dalam pengujian awal?

Pengujian primer adalah tes pengetahuan tentang dasar-dasar forensik komputer. Tidak ada pengujian pengetahuan produk Belkasoft dan Group-IB yang direncanakan.

Di mana saya dapat menemukan informasi tentang kursus pendidikan perusahaan?

Sebagai bagian dari kursus pelatihan, Group-IB melatih spesialis dalam respon insiden, penelitian malware, spesialis intelijen cyber (Threat Intelligence), spesialis untuk Security Operation Center (SOC), spesialis dalam pencarian ancaman proaktif (Threat Hunter), dll. . Daftar lengkap program hak cipta dari Group-IB tersedia di sini .

Bonus apa yang diterima siswa yang telah menyelesaikan kursus Group-IB dan Belkasoft?
Mereka yang dilatih dalam kursus Group-IB dan Belkasoft bersama akan menerima:

  1. sertifikat penyelesaian;
  2. Berlangganan bulanan gratis ke Belkasoft Evidence Center;
  3. Diskon 10% untuk Belkasoft Evidence Center.

Kami mengingatkan Anda bahwa kursus pertama dimulai pada hari Senin, 9 September , - jangan lewatkan kesempatan untuk mendapatkan pengetahuan unik di bidang keamanan informasi, forensik komputer, dan respons insiden! Registrasi untuk kursus di sini .

Sumber
Dalam mempersiapkan artikel, presentasi Oleg Skulkin "Menggunakan forensik berbasis host untuk mendapatkan indikator kompromi untuk respons insiden yang digerakkan oleh intelijen" digunakan.

Source: https://habr.com/ru/post/id466271/

More articles:


All Articles