FOR508: Resposta avançada à incidentes, busca às ameaças e perícia digital (36 CPEs)

SEÇÃO 1: Resposta avançada a incidentes e caça a ameaçasOs responsáveis pela resposta a incidentes e os caçadores de ameaças devem estar equipados com as mais recentes ferramentas, técnicas de análise de memória e metodologias empresariais para identificar, rastrear e conter adversários avançados e para corrigir incidentes. Os analistas de resposta a incidentes e caça a ameaças devem ser capazes de dimensionar sua análise em milhares de sistemas em sua empresa. Esta seção examina a metodologia de resposta a incidentes de seis etapas conforme se aplica à resposta a incidentes para grupos de ameaças avançadas. Mostraremos a importância de desenvolver inteligência sobre ameaças cibernéticas para impactar a “cadeia de destruição” dos adversários. Também demonstraremos técnicas e táticas de resposta ao vivo que podem ser aplicadas a um único sistema e em toda a empresa. Os alunos receberão uma licença completa de seis meses do F-Response Enterprise Edition, permitindo-lhes usar sua estação de trabalho ou a estação de trabalho SIFT para se conectar e fazer scripts de ações em centenas ou milhares de sistemas na empresa. Esse recurso é usado para comparar, facilitar e demonstrar novas tecnologias de resposta a incidentes e caça a ameaças que permitem que um respondente procure indicadores de comprometimento em toda a rede corporativa.SEÇÃO 2: Análise de intrusão Os defensores cibernéticos têm uma ampla variedade de ferramentas e artefatos disponíveis para identificar, caçar e rastrear a atividade do adversário em uma rede. Cada ação do invasor deixa um artefato correspondente e entender o que é deixado para trás como pegadas pode ser crítico para os membros vermelhos e azuis da equipe. Os ataques seguem um padrão previsível e concentramos nossos esforços de detetive em porções imutáveis ??desse padrão. Por exemplo, em algum ponto, um invasor precisará executar um código para cumprir seus objetivos. Podemos identificar essa atividade por meio de artefatos de execução do aplicativo. O invasor também precisará de uma ou mais contas para executar o código. Conseqüentemente, a auditoria de contas é um meio poderoso de identificar ações maliciosas. Um invasor também precisa de um meio para se mover pela rede, portanto, procuramos artefatos deixados pelo número relativamente pequeno de maneiras que existem para realizar essa parte de sua missão. Nesta seção, cobrimos a técnica comum do invasor e discutimos as várias fontes de dados e ferramentas forenses que você pode usar para identificar atividades maliciosas na empresa. SEÇÃO 3: Análise forense de memória em resposta a incidentes e caça a ameaças Agora um componente crítico de muitas equipes de resposta a incidentes e caça a ameaças que detectam regularmente adversários avançados em sua organização, a análise forense de memória percorreu um longo caminho em apenas alguns anos. A análise forense de memória pode ser extraordinariamente eficaz na localização de evidências de worms, rootkits, PowerShell e malware avançado usados ??por atacantes APT. Na verdade, alguns ataques podem ser quase impossíveis de desvendar sem a análise da memória. A análise de memória era tradicionalmente domínio dos especialistas internos do Windows, mas o desenvolvimento recente de novas ferramentas e técnicas a torna acessível hoje a todos os investigadores, responsáveis ??pela resposta a incidentes e caçadores de ameaças. Melhores ferramentas, interfaces e heurísticas de detecção nivelaram bastante o campo de jogo. Compreender os padrões de ataque na memória é uma habilidade fundamental do analista aplicável em uma ampla gama de produtos de detecção e resposta de endpoint (EDR). Esta seção extremamente popular cobrirá muitos dos recursos de análise de memória mais poderosos disponíveis e fornecerá uma base sólida de habilidades forenses de memória avançada para investigações de supercarga, independentemente do conjunto de ferramentas empregado. SEÇÃO 4: Análise da linha do tempo Aprenda técnicas avançadas de caça e resposta a incidentes descobertas por meio da análise da linha do tempo diretamente dos autores que foram os pioneiros na análise da linha do tempo. Os dados temporais estão localizados em todos os lugares em um sistema de computador. Tempos de modificação / acesso / criação / alteração do sistema de arquivos, arquivos de log, dados de rede, dados de registro e arquivos de histórico da Internet, todos contêm dados de tempo que podem ser correlacionados em análises críticas para resolver casos com sucesso. Lançada por Rob Lee em 2001, a análise de linha do tempo tornou-se uma técnica crítica de resposta a incidentes, caça e perícia. Novas estruturas de análise de linha do tempo fornecem os meios para conduzir exames simultâneos de uma infinidade de artefatos baseados em tempo. A análise que antes levava dias, agora leva minutos. Esta seção o guiará pelos dois métodos principais de construção e análise de cronogramas criados durante a resposta avançada a incidentes, caça a ameaças e casos forenses. Os exercícios mostrarão aos analistas como criar uma linha do tempo e também como apresentar os principais métodos para ajudá-lo a usar essas linhas do tempo com eficácia em seus casos. SEÇÃO 5: Resposta a incidentes e caça em toda a empresaDetecção avançada de adversários e anti-forenses Ao longo dos anos, observamos que muitos respondentes a incidentes e caçadores de ameaças têm dificuldade para encontrar ameaças sem indicadores predefinidos de comprometimento ou inteligência de ameaças reunidos antes de uma violação. Isso é especialmente verdadeiro em intrusões de adversários APT. Esta sessão avançada demonstrará técnicas usadas por socorristas para identificar malware ou artefatos forenses quando houver muito pouca informação sobre seus recursos ou locais ocultos. Discutiremos técnicas para ajudar a direcionar as possibilidades até os candidatos mais prováveis de serem malwares malignos tentando se esconder no sistema. SEÇÃO 6: O desafio de resposta a incidentes do grupo de ameaças APT Este exercício de intrusão empresarial incrivelmente rico e realista é baseado em um grupo de ameaças persistentes avançadas (APT) do mundo real. Ele reúne técnicas aprendidas no início da semana e testa suas habilidades recém-adquiridas em um caso que simula um ataque de um adversário avançado. O desafio reúne tudo isso usando uma intrusão real em um ambiente corporativo Windows completo. Você será solicitado a descobrir como os sistemas foram comprometidos na intrusão inicial, encontrar outros sistemas que o adversário moveu lateralmente e identificar propriedade intelectual roubada por meio de exfiltração de dados. Você sairá do curso com experiência prática na investigação de ataques realistas, com curadoria de um grupo de instrutores com décadas de experiência no combate a ameaças avançadas de invasores que vão de estados-nações a sindicatos do crime financeiro e grupos de hacker ativistas.

TODO CONTEÚDO DO CURSO É MINISTRADO EM INGLÊS.Uma das maiores reclamações que você ouve na comunidade de caça a ameaças e resposta a incidentes é a falta de dados de intrusão realistas. A maioria dos dados de intrusão do mundo real é simplesmente muito sensível para ser compartilhada.Os autores do curso FOR508 criaram um cenário realista com base em experiências pesquisadas de um painel de respondentes que regularmente combatem ataques APT direcionados. Eles ajudaram a revisar e orientar o “script” de ataque direcionado usado para criar o cenário. O resultado é um cenário de ataque incrivelmente rico e realista em vários sistemas corporativos. Este laboratório de ataque APT forma a base para o treinamento durante a semana. A rede foi configurada para imitar uma rede corporativa “protegida” padrão usando listas de verificação de conformidade padrão:Auditoria completa ativada de acordo com as diretrizes do Federal Information Security Management Act recomendadasControlador de domínio do Windows (DC) instalado e configurado; DC endurecido de forma semelhante ao que é visto em redes corporativas reaisSistemas instalados com o software real que é usado (Office, Adobe, Skype, Tweetdeck, Email, Dropbox, Firefox, Chrome)Sistemas totalmente corrigidos (os patches são instalados automaticamente)Agentes de detecção e resposta de endpoint (EDR)Capacidade Enterprise A / V e em varredura com base no Sistema de Segurança baseado em host do Departamento de DefesaSoftware de proteção de endpoint – antivírus, antispyware, navegação segura, antispam, controle de dispositivos, gerenciamento no local, prevenção de intrusão de host (HIPS)O firewall permite apenas a porta de entrada 25 e as portas de saída 25, 80, 443Este exercício e desafio são usados ??para mostrar rastros de adversários reais em sistemas host, memória do sistema, hibernação / arquivos de página e muito mais:Fase 1 – Comprometimento zero do paciente e instalação de beacon C2 de malwareFase 2 – Escalonamento de privilégios, movimento lateral para outros sistemas, download de utilitários de malware, instalação de beacons adicionais e obtenção de credenciais de administrador de domínioFase 3 – Pesquisa de propriedade intelectual, rede de perfil, despejo de e-mail, despejo de hashes corporativosFase 4 – Colete dados para exfiltrar e copiar para o sistema de teste. Arquive dados usando .rar e uma senha longa complexaFase 5 – Exfiltrar arquivos .rar do servidor de teste, realizar limpeza no servidor de testeO que você receberáEstação de trabalho SIFTEste curso usa extensivamente a estação de trabalho SIFT para ensinar respondentes a incidentes e analistas forenses como responder e investigar ataques sofisticados.A estação de trabalho SIFT contém centenas de ferramentas gratuitas e de código aberto, combinando facilmente com qualquer conjunto de ferramentas comerciais de resposta forense e de resposta a incidentes.Uma máquina virtual é usada com muitos dos exercícios práticos de aula.Base Ubuntu Linux LTS.Sistema básico de 64 bits.Melhor utilização da memória.Atualização e personalizações do pacote Auto-DFIR.Ferramentas e técnicas forenses mais recentes.VMware Appliance pronto para lidar com a perícia.Compatibilidade cruzada entre Linux e Windows.Suporte expandido ao sistema de arquivos (NTFS, HFS, EXFAT e mais).F-Response Enterprise (capacidade de coleta de endpoint)Permite que os respondentes a incidentes acessem sistemas remotos e a memória física de um computador remoto por meio da rede.Fornece a qualquer resposta a incidentes ou ferramenta forense a capacidade de ser usada em toda a empresa.Perfeito para investigações de intrusão e situações de resposta a incidentes de violação de dados.Agente implantável em sistemas remotos.Compatível com estação de trabalho SIFT.Fornecedor neutro – funciona com praticamente qualquer ferramenta.Número de examinadores simultâneos = ilimitado.Número de agentes simultâneos implantados = ilimitado.A licença de seis meses permite que o F-Response Enterprise continue a ser usado e avaliado em seu ambiente de trabalho / casa.Pacote de download eletrônico contendo:Imagens de casos APT, capturas de memória, SIFT Workstation 3, ferramentas e documentação.SANS DFIR APT Caderno de exercícios de eletronincoO livro de exercícios eletrônicos tem mais de 250 páginas com instruções detalhadas e exemplos passo a passo para ajudá-lo a se tornar um mestre em responder a incidentes.SANS DFIR Cheatsheets para ajudar a usar as ferramentas no campo

FOR508.1: Advanced Incident Response & Threat HuntingReal Incident Response TacticsThreat HuntingThreat Hunting in the EnterpriseIncident Response and Hunting across EndpointsMalware Defense Evasion and IdentificationMalware Persistence IdentificationInvestigating WMI-Based AttacksFOR508.2: Intrusion AnalysisStealing and Utilization of Legitimate CredentialsAdvanced Evidence of Execution DetectionLateral Movement Adversary Tactics, Techniques, and Procedures (TTPs)Log Analysis for Incident Responders and HuntersFOR508.3: Memory Forensics in Incident Response & Threat HuntingRemote and Enterprise Incident ResponseTriage and Endpoint Detection and Response (EDR)Memory AcquisitionMemory Forensics Analysis Process for Response and HuntingMemory Forensics ExaminationsMemory Analysis ToolsFOR508.4: Timeline AnalysisMalware Defense Evasion and DetectionTimeline Analysis OverviewFilesystem Timeline Creation and AnalysisSuper Timeline Creation and AnalysisFOR508.5: Incident Response & Hunting Across the Enterprise | Advanced Adversary & Anti-Forensics DetectionVolume Shadow Copy AnalysisAdvanced NTFS Filesystem TacticsAdvanced Evidence RecoveryFOR508.6: The APT Threat Group Incident Response ChallengeO Intrusion Forensic Challenge solicitará que cada equipe de resposta a incidentes analise vários sistemas em uma rede corporativa com muitos terminais.Aprenda a identificar e rastrear ações de invasores em uma rede inteira, encontrando exploração inicial, reconhecimento, persistência, despejo de credenciais, movimento lateral, elevação para administrador de domínio e roubo / exfiltração de dados.

Inglês avançado para leitura e participação nas aulas ao vivo;O Resposta avançada à incidentes, busca às ameaças e perícia digital é um curso avançado de resposta a incidentes e caça a ameaças que se concentra na detecção e resposta a ameaças persistentes avançadas e grupos de ameaças do crime organizado. Não cobrimos a introdução ou os fundamentos da resposta a incidentes, análise forense digital do Windows ou técnicas de hackers neste curso.Recomendamos que você tenha feito o curso Análise Forense em Windows antes de participar deste curso.

Aprender e dominar as ferramentas, técnicas e procedimentos necessários para efetivamente caçar, detectar e conter uma variedade de adversários e para remediar incidentes.Detectar e buscar malware ativo, inativo e personalizado desconhecido na memória em vários sistemas Windows em um ambiente corporativo.Pesquisar e executar a resposta a incidentes em centenas de sistemas exclusivos simultaneamente usando PowerShell ou F-Response Enterprise e a estação de trabalho SIFT.Identificar e rastrear a saída de beacon de malware para seu canal de comando e controle (C2) por meio de análise forense de memória, análise de registro e resíduo de conexão de rede.Determinar como a violação ocorreu, identificando a cabeça de ponte e os mecanismos de ataque inicial.Identificar técnicas de vida da terra, incluindo o uso malicioso de PowerShell e WMI.Usar técnicas antianálise forense avançadas do adversário, como malware oculto e temporário, junto com o utilitário usado para se mover na rede e manter a presença do invasor.Usar a análise de memória, resposta a incidentes e ferramentas de caça a ameaças na estação de trabalho SIFT para detectar processos ocultos, malware, linhas de comando do invasor, rootkits, conexões de rede e muito mais.Rastrear a atividade do usuário e do invasor segundo a segundo no sistema que você está analisando por meio de análises detalhadas de cronograma e super cronograma.Recuperar dados apagados usando técnicas anti-forenses por meio de Cópia de Sombra de Volume e análise de Ponto de Restauração.Identificar movimentos laterais e pivôs dentro de sua empresa em seus endpoints, mostrando como os invasores fazem a transição de um sistema para outro sem detecção.Entender como o invasor pode adquirir credenciais legítimas – incluindo direitos de administrador de domínio – mesmo em um ambiente bloqueado.Rastrear a movimentação de dados conforme os invasores coletam dados críticos e os transferem para pontos de coleta de exfiltração.Recuperar e analisar arquivos e arquivos .rar usados ??por invasores do tipo APT para exfiltrar dados confidenciais da rede corporativa.Use os dados coletados para realizar uma correção eficaz em toda a empresa.