FOR508: Resposta avançada à incidentes, busca às ameaças e perícia digital (36 CPEs)

SEÇÃO 1: Resposta avançada a incidentes e caça a ameaças

Os responsáveis pela resposta a incidentes e os caçadores de ameaças devem estar equipados com as mais recentes ferramentas, técnicas de análise de memória e metodologias empresariais para identificar, rastrear e conter adversários avançados e para corrigir incidentes. Os analistas de resposta a incidentes e caça a ameaças devem ser capazes de dimensionar sua análise em milhares de sistemas em sua empresa. Esta seção examina a metodologia de resposta a incidentes de seis etapas conforme se aplica à resposta a incidentes para grupos de ameaças avançadas. Mostraremos a importância de desenvolver inteligência sobre ameaças cibernéticas para impactar a “cadeia de destruição” dos adversários. Também demonstraremos técnicas e táticas de resposta ao vivo que podem ser aplicadas a um único sistema e em toda a empresa. Os alunos receberão uma licença completa de seis meses do F-Response Enterprise Edition, permitindo-lhes usar sua estação de trabalho ou a estação de trabalho SIFT para se conectar e fazer scripts de ações em centenas ou milhares de sistemas na empresa. Esse recurso é usado para comparar, facilitar e demonstrar novas tecnologias de resposta a incidentes e caça a ameaças que permitem que um respondente procure indicadores de comprometimento em toda a rede corporativa.

SEÇÃO 2: Análise de intrusão

Os defensores cibernéticos têm uma ampla variedade de ferramentas e artefatos disponíveis para identificar, caçar e rastrear a atividade do adversário em uma rede. Cada ação do invasor deixa um artefato correspondente e entender o que é deixado para trás como pegadas pode ser crítico para os membros vermelhos e azuis da equipe. Os ataques seguem um padrão previsível e concentramos nossos esforços de detetive em porções imutáveis ??desse padrão. Por exemplo, em algum ponto, um invasor precisará executar um código para cumprir seus objetivos. Podemos identificar essa atividade por meio de artefatos de execução do aplicativo. O invasor também precisará de uma ou mais contas para executar o código. Conseqüentemente, a auditoria de contas é um meio poderoso de identificar ações maliciosas. Um invasor também precisa de um meio para se mover pela rede, portanto, procuramos artefatos deixados pelo número relativamente pequeno de maneiras que existem para realizar essa parte de sua missão. Nesta seção, cobrimos a técnica comum do invasor e discutimos as várias fontes de dados e ferramentas forenses que você pode usar para identificar atividades maliciosas na empresa.

SEÇÃO 3: Análise forense de memória em resposta a incidentes e caça a ameaças

Agora um componente crítico de muitas equipes de resposta a incidentes e caça a ameaças que detectam regularmente adversários avançados em sua organização, a análise forense de memória percorreu um longo caminho em apenas alguns anos. A análise forense de memória pode ser extraordinariamente eficaz na localização de evidências de worms, rootkits, PowerShell e malware avançado usados ??por atacantes APT. Na verdade, alguns ataques podem ser quase impossíveis de desvendar sem a análise da memória. A análise de memória era tradicionalmente domínio dos especialistas internos do Windows, mas o desenvolvimento recente de novas ferramentas e técnicas a torna acessível hoje a todos os investigadores, responsáveis ??pela resposta a incidentes e caçadores de ameaças. Melhores ferramentas, interfaces e heurísticas de detecção nivelaram bastante o campo de jogo. Compreender os padrões de ataque na memória é uma habilidade fundamental do analista aplicável em uma ampla gama de produtos de detecção e resposta de endpoint (EDR). Esta seção extremamente popular cobrirá muitos dos recursos de análise de memória mais poderosos disponíveis e fornecerá uma base sólida de habilidades forenses de memória avançada para investigações de supercarga, independentemente do conjunto de ferramentas empregado.

SEÇÃO 4: Análise da linha do tempo

Aprenda técnicas avançadas de caça e resposta a incidentes descobertas por meio da análise da linha do tempo diretamente dos autores que foram os pioneiros na análise da linha do tempo. Os dados temporais estão localizados em todos os lugares em um sistema de computador. Tempos de modificação / acesso / criação / alteração do sistema de arquivos, arquivos de log, dados de rede, dados de registro e arquivos de histórico da Internet, todos contêm dados de tempo que podem ser correlacionados em análises críticas para resolver casos com sucesso. Lançada por Rob Lee em 2001, a análise de linha do tempo tornou-se uma técnica crítica de resposta a incidentes, caça e perícia. Novas estruturas de análise de linha do tempo fornecem os meios para conduzir exames simultâneos de uma infinidade de artefatos baseados em tempo. A análise que antes levava dias, agora leva minutos. Esta seção o guiará pelos dois métodos principais de construção e análise de cronogramas criados durante a resposta avançada a incidentes, caça a ameaças e casos forenses. Os exercícios mostrarão aos analistas como criar uma linha do tempo e também como apresentar os principais métodos para ajudá-lo a usar essas linhas do tempo com eficácia em seus casos.

SEÇÃO 5: Resposta a incidentes e caça em toda a empresa

Detecção avançada de adversários e anti-forenses Ao longo dos anos, observamos que muitos respondentes a incidentes e caçadores de ameaças têm dificuldade para encontrar ameaças sem indicadores predefinidos de comprometimento ou inteligência de ameaças reunidos antes de uma violação. Isso é especialmente verdadeiro em intrusões de adversários APT. Esta sessão avançada demonstrará técnicas usadas por socorristas para identificar malware ou artefatos forenses quando houver muito pouca informação sobre seus recursos ou locais ocultos. Discutiremos técnicas para ajudar a direcionar as possibilidades até os candidatos mais prováveis de serem malwares malignos tentando se esconder no sistema.

SEÇÃO 6: O desafio de resposta a incidentes do grupo de ameaças APT

Este exercício de intrusão empresarial incrivelmente rico e realista é baseado em um grupo de ameaças persistentes avançadas (APT) do mundo real. Ele reúne técnicas aprendidas no início da semana e testa suas habilidades recém-adquiridas em um caso que simula um ataque de um adversário avançado. O desafio reúne tudo isso usando uma intrusão real em um ambiente corporativo Windows completo. Você será solicitado a descobrir como os sistemas foram comprometidos na intrusão inicial, encontrar outros sistemas que o adversário moveu lateralmente e identificar propriedade intelectual roubada por meio de exfiltração de dados. Você sairá do curso com experiência prática na investigação de ataques realistas, com curadoria de um grupo de instrutores com décadas de experiência no combate a ameaças avançadas de invasores que vão de estados-nações a sindicatos do crime financeiro e grupos de hacker ativistas.

TODO CONTEÚDO DO CURSO É MINISTRADO EM INGLÊS.

Uma das maiores reclamações que você ouve na comunidade de caça a ameaças e resposta a incidentes é a falta de dados de intrusão realistas. A maioria dos dados de intrusão do mundo real é simplesmente muito sensível para ser compartilhada.

Os autores do curso FOR508 criaram um cenário realista com base em experiências pesquisadas de um painel de respondentes que regularmente combatem ataques APT direcionados. Eles ajudaram a revisar e orientar o “script” de ataque direcionado usado para criar o cenário. O resultado é um cenário de ataque incrivelmente rico e realista em vários sistemas corporativos. Este laboratório de ataque APT forma a base para o treinamento durante a semana. A rede foi configurada para imitar uma rede corporativa “protegida” padrão usando listas de verificação de conformidade padrão:

• Auditoria completa ativada de acordo com as diretrizes do Federal Information Security Management Act recomendadas
• Controlador de domínio do Windows (DC) instalado e configurado; DC endurecido de forma semelhante ao que é visto em redes corporativas reais
• Sistemas instalados com o software real que é usado (Office, Adobe, Skype, Tweetdeck, Email, Dropbox, Firefox, Chrome)
• Sistemas totalmente corrigidos (os patches são instalados automaticamente)
• Agentes de detecção e resposta de endpoint (EDR)
• Capacidade Enterprise A / V e em varredura com base no Sistema de Segurança baseado em host do Departamento de Defesa
• Software de proteção de endpoint – antivírus, antispyware, navegação segura, antispam, controle de dispositivos, gerenciamento no local, prevenção de intrusão de host (HIPS)
• O firewall permite apenas a porta de entrada 25 e as portas de saída 25, 80, 443

Este exercício e desafio são usados ??para mostrar rastros de adversários reais em sistemas host, memória do sistema, hibernação / arquivos de página e muito mais:

• Fase 1 – Comprometimento zero do paciente e instalação de beacon C2 de malware
• Fase 2 – Escalonamento de privilégios, movimento lateral para outros sistemas, download de utilitários de malware, instalação de beacons adicionais e obtenção de credenciais de administrador de domínio
• Fase 3 – Pesquisa de propriedade intelectual, rede de perfil, despejo de e-mail, despejo de hashes corporativos
• Fase 4 – Colete dados para exfiltrar e copiar para o sistema de teste. Arquive dados usando .rar e uma senha longa complexa
• Fase 5 – Exfiltrar arquivos .rar do servidor de teste, realizar limpeza no servidor de teste

O que você receberá

Estação de trabalho SIFT

• Este curso usa extensivamente a estação de trabalho SIFT para ensinar respondentes a incidentes e analistas forenses como responder e investigar ataques sofisticados.
• A estação de trabalho SIFT contém centenas de ferramentas gratuitas e de código aberto, combinando facilmente com qualquer conjunto de ferramentas comerciais de resposta forense e de resposta a incidentes.
• Uma máquina virtual é usada com muitos dos exercícios práticos de aula.
• Base Ubuntu Linux LTS.
• Sistema básico de 64 bits.
• Melhor utilização da memória.
• Atualização e personalizações do pacote Auto-DFIR.
• Ferramentas e técnicas forenses mais recentes.
• VMware Appliance pronto para lidar com a perícia.
• Compatibilidade cruzada entre Linux e Windows.
• Suporte expandido ao sistema de arquivos (NTFS, HFS, EXFAT e mais).

F-Response Enterprise (capacidade de coleta de endpoint)

• Permite que os respondentes a incidentes acessem sistemas remotos e a memória física de um computador remoto por meio da rede.
• Fornece a qualquer resposta a incidentes ou ferramenta forense a capacidade de ser usada em toda a empresa.
• Perfeito para investigações de intrusão e situações de resposta a incidentes de violação de dados.
• Agente implantável em sistemas remotos.
• Compatível com estação de trabalho SIFT.
• Fornecedor neutro – funciona com praticamente qualquer ferramenta.
• Número de examinadores simultâneos = ilimitado.
• Número de agentes simultâneos implantados = ilimitado.
• A licença de seis meses permite que o F-Response Enterprise continue a ser usado e avaliado em seu ambiente de trabalho / casa.

Pacote de download eletrônico contendo:

• Imagens de casos APT, capturas de memória, SIFT Workstation 3, ferramentas e documentação.
• SANS DFIR APT Caderno de exercícios de eletroninco
• O livro de exercícios eletrônicos tem mais de 250 páginas com instruções detalhadas e exemplos passo a passo para ajudá-lo a se tornar um mestre em responder a incidentes.

SANS DFIR Cheatsheets para ajudar a usar as ferramentas no campo

FOR508.1: Advanced Incident Response & Threat Hunting

• Real Incident Response Tactics
• Threat Hunting
• Threat Hunting in the Enterprise
• Incident Response and Hunting across Endpoints
• Malware Defense Evasion and Identification
• Malware Persistence Identification
• Investigating WMI-Based Attacks

FOR508.2: Intrusion Analysis

• Stealing and Utilization of Legitimate Credentials
• Advanced Evidence of Execution Detection
• Lateral Movement Adversary Tactics, Techniques, and Procedures (TTPs)
• Log Analysis for Incident Responders and Hunters

FOR508.3: Memory Forensics in Incident Response & Threat Hunting

• Remote and Enterprise Incident Response
• Triage and Endpoint Detection and Response (EDR)
• Memory Acquisition
• Memory Forensics Analysis Process for Response and Hunting
• Memory Forensics Examinations
• Memory Analysis Tools

FOR508.4: Timeline Analysis

• Malware Defense Evasion and Detection
• Timeline Analysis Overview
• Filesystem Timeline Creation and Analysis
• Super Timeline Creation and Analysis

FOR508.5: Incident Response & Hunting Across the Enterprise | Advanced Adversary & Anti-Forensics Detection

• Volume Shadow Copy Analysis
• Advanced NTFS Filesystem Tactics
• Advanced Evidence Recovery

FOR508.6: The APT Threat Group Incident Response Challenge

• O Intrusion Forensic Challenge solicitará que cada equipe de resposta a incidentes analise vários sistemas em uma rede corporativa com muitos terminais.
• Aprenda a identificar e rastrear ações de invasores em uma rede inteira, encontrando exploração inicial, reconhecimento, persistência, despejo de credenciais, movimento lateral, elevação para administrador de domínio e roubo / exfiltração de dados.

Inglês avançado para leitura e participação nas aulas ao vivo;

O Resposta avançada à incidentes, busca às ameaças e perícia digital é um curso avançado de resposta a incidentes e caça a ameaças que se concentra na detecção e resposta a ameaças persistentes avançadas e grupos de ameaças do crime organizado. Não cobrimos a introdução ou os fundamentos da resposta a incidentes, análise forense digital do Windows ou técnicas de hackers neste curso.

Recomendamos que você tenha feito o curso Análise Forense em Windows antes de participar deste curso.

• Aprender e dominar as ferramentas, técnicas e procedimentos necessários para efetivamente caçar, detectar e conter uma variedade de adversários e para remediar incidentes.
• Detectar e buscar malware ativo, inativo e personalizado desconhecido na memória em vários sistemas Windows em um ambiente corporativo.
• Pesquisar e executar a resposta a incidentes em centenas de sistemas exclusivos simultaneamente usando PowerShell ou F-Response Enterprise e a estação de trabalho SIFT.
• Identificar e rastrear a saída de beacon de malware para seu canal de comando e controle (C2) por meio de análise forense de memória, análise de registro e resíduo de conexão de rede.
• Determinar como a violação ocorreu, identificando a cabeça de ponte e os mecanismos de ataque inicial.
• Identificar técnicas de vida da terra, incluindo o uso malicioso de PowerShell e WMI.
• Usar técnicas antianálise forense avançadas do adversário, como malware oculto e temporário, junto com o utilitário usado para se mover na rede e manter a presença do invasor.
• Usar a análise de memória, resposta a incidentes e ferramentas de caça a ameaças na estação de trabalho SIFT para detectar processos ocultos, malware, linhas de comando do invasor, rootkits, conexões de rede e muito mais.
• Rastrear a atividade do usuário e do invasor segundo a segundo no sistema que você está analisando por meio de análises detalhadas de cronograma e super cronograma.
• Recuperar dados apagados usando técnicas anti-forenses por meio de Cópia de Sombra de Volume e análise de Ponto de Restauração.
• Identificar movimentos laterais e pivôs dentro de sua empresa em seus endpoints, mostrando como os invasores fazem a transição de um sistema para outro sem detecção.
• Entender como o invasor pode adquirir credenciais legítimas – incluindo direitos de administrador de domínio – mesmo em um ambiente bloqueado.
• Rastrear a movimentação de dados conforme os invasores coletam dados críticos e os transferem para pontos de coleta de exfiltração.
• Recuperar e analisar arquivos e arquivos .rar usados ??por invasores do tipo APT para exfiltrar dados confidenciais da rede corporativa.
• Use os dados coletados para realizar uma correção eficaz em toda a empresa.