Cursos Conjuntos Grupo-IB e Belkasoft: o que ensinamos e quem virá

Algoritmos e táticas para responder a incidentes de segurança da informação, tendências em ataques cibernéticos atuais, abordagens para investigar vazamentos de dados em empresas, pesquisando navegadores e dispositivos móveis, analisando arquivos criptografados, extraindo dados de geolocalização e analisando grandes volumes de dados - todos esses e outros tópicos podem ser explorados sobre novos tópicos Cursos conjuntos do Grupo IB e Belkasoft. Em agosto, anunciamos o primeiro curso Belkasoft Digital Forensics, que começa em 9 de setembro e, depois de receber um grande número de perguntas, decidimos conversar mais sobre o que os alunos aprenderão, que conhecimentos, competências e bônus (!) Serão recebidos por quem chegar ao fim . Primeiras coisas primeiro.

Dois tudo em um

A idéia de realizar cursos de treinamento conjunto surgiu depois que os alunos dos cursos do Grupo-IB começaram a perguntar sobre uma ferramenta que os ajudaria no estudo de sistemas e redes de computadores comprometidos e combinou a funcionalidade de vários utilitários gratuitos que recomendamos usar ao responder a incidentes .

Em nossa opinião, essa ferramenta poderia ser o Belkasoft Evidence Center (já falamos sobre isso em um artigo de Igor Mikhailov, “Key to the Start: o melhor software e hardware para análise forense de computadores”). Portanto, juntamente com a Belkasoft, desenvolvemos dois cursos de treinamento: Belkasoft Digital Forensics e Belkasoft Incident Response Examination .

IMPORTANTE: os cursos são consistentes e interconectados! O Belkasoft Digital Forensics é dedicado ao Belkasoft Evidence Center, e o Belkasoft Incident Response Examination está investigando incidentes usando os produtos Belkasoft. Ou seja, antes de fazer o curso Belkasoft Incident Response Examination, é altamente recomendável que você faça o curso Belkasoft Digital Forensics. Se você começar imediatamente com um curso de investigação de incidentes, o ouvinte pode ter lacunas de conhecimento infelizes ao usar o Belkasoft Evidence Center, localizando e pesquisando artefatos forenses. Isso pode levar ao fato de que durante o treinamento no curso de Exame de Resposta a Incidentes da Belkasoft, o aluno não terá tempo para dominar o material ou inibirá o restante do grupo na aquisição de novos conhecimentos, uma vez que o tempo de treinamento será gasto pelo instrutor na explicação do material do curso Belkasoft Digital Forensics.

Análise forense de computadores com o Belkasoft Evidence Center

O objetivo do curso Belkasoft Digital Forensics é familiarizar os alunos com o programa Belkasoft Evidence Center, ensiná-los a usar este programa para coletar evidências de várias fontes (armazenamento em nuvem, memória de acesso aleatório (RAM), dispositivos móveis, mídia de armazenamento (discos rígidos, unidades flash, etc.) etc.), para dominar técnicas e técnicas forenses básicas, métodos de pesquisa forense para artefatos do Windows, dispositivos móveis, despejos de memória. Você também aprenderá a identificar e documentar artefatos de navegadores e programas de troca instantânea mensagens, criar cópias forenses de dados de várias fontes, recuperar dados de geolocalização e procurar sequências de texto (pesquisa por palavra-chave), usar hashes ao realizar pesquisas, analisar o registro do Windows, dominar as habilidades de pesquisar bancos de dados SQLite desconhecidos, o básico de pesquisar gráficos e arquivos de vídeo e técnicas analíticas usadas durante as investigações.

O curso será útil para especialistas com especialização na área de conhecimento técnico em informática (conhecimento em informática); técnicos que determinam os motivos de uma invasão bem-sucedida analisam a cadeia de eventos e as consequências de ataques cibernéticos; especialistas técnicos que identificam e documentam o roubo (vazamento) de dados por um insider (violador interno); especialistas em e-Discovery; Funcionários do SOC e CERT / CSIRT; agentes de segurança da informação; entusiastas de computação forense.

Plano do Curso:

• Belkasoft Evidence Center (BEC): primeiros passos
• Criando e Processando Casos no BEC
• Coleta de evidências forenses com o BEC

• Usando filtros
• Relatórios
• Pesquisando programas de mensagens instantâneas

• Pesquisa de Navegador da Web

• Pesquisa móvel
• Recuperação de dados de geolocalização

• Procure sequências de texto nos casos
• Extrair e analisar dados do armazenamento na nuvem
• Usando marcadores para destacar evidências significativas encontradas durante o estudo
• Explorando arquivos de sistema do Windows

• Análise de registro do Windows
• Análise de banco de dados SQLite

• Métodos de recuperação de dados
• Métodos de pesquisa de lixões de memória de acesso aleatório
• Usando uma calculadora de hash e análise de hash em pesquisa forense
• Análise de arquivos criptografados
• Métodos de pesquisa para arquivos gráficos e de vídeo
• O uso de técnicas analíticas na pesquisa forense
• Automatize ações de rotina com a linguagem de programação incorporada Belkascripts

• Exercícios práticos

Curso: Exame de Resposta a Incidentes da Belkasoft

O objetivo do curso é estudar os fundamentos da investigação forense de ataques cibernéticos e as possibilidades de uso do Belkasoft Evidence Center na investigação. Você aprenderá sobre os principais vetores de ataques modernos em redes de computadores, aprenderá a classificar ataques de computador com base na matriz MITRE ATT & CK, aplicará algoritmos de pesquisa de sistema operacional para estabelecer o fato de comprometer e reconstruir as ações dos invasores, descobrir onde estão localizados os artefatos que indicam quais arquivos foram abertos pela última vez , onde o sistema operacional armazena informações sobre o download e a execução de arquivos executáveis, como os invasores se movem pela rede e aprende a explorar esses artefatos usando o BE C. Você também aprenderá quais eventos nos logs do sistema são de interesse em termos de investigação de incidentes e estabelecimento do fato de acesso remoto e aprenderá como investigá-los usando o BEC.

O curso será útil para especialistas técnicos que determinam os motivos de uma invasão bem-sucedida, analisam a cadeia de eventos e as conseqüências dos ataques cibernéticos; administradores de sistema; Funcionários do SOC e CERT / CSIRT; agentes de segurança da informação.

Visão Geral do Curso

O Cyber ​​Kill Chain descreve os principais estágios de qualquer ataque técnico aos computadores da vítima (ou rede de computadores) da seguinte maneira:

As ações dos funcionários do SOC (CERT, segurança da informação etc.) visam impedir que os invasores protejam os recursos de informação.

Se, no entanto, os atacantes penetrarem na infraestrutura protegida, as pessoas acima mencionadas devem tentar minimizar os danos causados ​​pela atividade dos atacantes, determinar como o ataque foi realizado, reconstruir os eventos e a sequência dos atacantes na estrutura de informações comprometidas e tomar medidas para evitar esse tipo de ataque no futuro.

Em uma infraestrutura de informações comprometida, os seguintes tipos de rastreio podem ser encontrados, indicando uma rede comprometida (computador):


Todas essas faixas podem ser encontradas usando o Belkasoft Evidence Center.

O BEC possui um módulo de investigação de incidentes, que, ao analisar a mídia de armazenamento, contém informações sobre artefatos que podem ajudar um pesquisador a investigar incidentes.


O BEC suporta o estudo dos principais tipos de artefatos do Windows que indicam a execução de arquivos executáveis ​​no sistema em estudo, incluindo Amcache, Userassist, Prefetch, BAM / DAM, arquivos da Linha de Tempo do Windows 10 e análise de eventos do sistema.

Informações sobre rastreamentos que contêm informações sobre ações do usuário em um sistema comprometido podem ser apresentadas da seguinte maneira:


Essas informações, inclusive, incluem informações sobre a execução de arquivos executáveis:

Informações sobre como iniciar o arquivo 'RDPWInst.exe'.

Informações sobre como corrigir invasores em sistemas comprometidos podem ser encontradas nas chaves de inicialização do registro do Windows, serviços, tarefas agendadas, scripts de logon, WMI, etc. Exemplos de detecção de informações sobre correção no sistema de atacantes podem ser vistos nas seguintes capturas de tela:

Protegendo os invasores usando o agendador de tarefas, criando uma tarefa que inicia um script do PowerShell.

Protegendo os invasores usando a WMI (Instrumentação de Gerenciamento do Windows).

Protegendo os invasores com um script de logon.

O movimento de atacantes em uma rede de computadores comprometida pode ser detectado, por exemplo, analisando os logs do sistema Windows (quando os atacantes usam o serviço RDP).

Informações sobre conexões RDP detectadas.

Informações sobre o movimento de atacantes pela rede.

Assim, o Belkasoft Evidence Center é capaz de ajudar os pesquisadores a identificar computadores comprometidos em uma rede de computadores atacada, encontrar vestígios de lançamentos de malware, vestígios de anexação ao sistema e movimento na rede e outros vestígios da atividade do invasor em computadores comprometidos.

Como conduzir esses estudos e detectar os artefatos descritos acima está descrito no curso de treinamento do Belkasoft Incident Response Examination.

Plano do Curso:

• Tendências em ataques cibernéticos. Tecnologias, ferramentas, alvos de invasores
• Usando modelos de ameaças para entender táticas, técnicas e procedimentos de ataque
• Cadeia de matança cibernética
• O algoritmo de resposta a incidentes: identificação, localização, formação de indicadores, busca de novos nós infectados
• Análise do sistema Windows com BEC
• Identificação de métodos de infecção primária, espalhando-se pela rede, corrigindo, atividade de malware na rede usando BEC
• Identifique os sistemas infectados e restaure o histórico de infecções usando o BEC
• Exercícios práticos

Lembramos que o primeiro curso começa na segunda-feira, 9 de setembro - não perca a oportunidade de obter conhecimentos exclusivos no campo da segurança da informação, análise forense de computadores e resposta a incidentes! As inscrições para o curso aqui .