FOR518: Análise forense e resposta a incidentes em Mac e IOS

Investigadores forenses digitais tradicionalmente lidam com máquinas Windows, mas e se eles se depararem com um novo Apple Mac ou iDevice? A crescente popularidade dos dispositivos da Apple pode ser vista em todos os lugares, de cafeterias a salas de reuniões corporativas, mas a maioria dos investigadores está familiarizada com máquinas somente com Windows.O curso FOR518: análise forense e resposta a incidentes em Mac e iOS, constantemente atualizado, fornece as técnicas e habilidades necessárias para lidar com qualquer caso de Mac ou iOS sem hesitação.A intensa análise forense prática e as habilidades de resposta a incidentes ensinadas no curso permitirão que os analistas ampliem suas capacidades e ganhem confiança e conhecimento para analisar confortavelmente qualquer dispositivo Mac ou iOS. Além das investigações tradicionais, o curso apresenta cenários de resposta a incidentes e invasões para ajudar os analistas a aprender maneiras de identificar e caçar invasores que comprometeram dispositivos Apple.Forense de forma diferente!FOR518: Análise Forense e Resposta a Incidentes para Mac e iOS ensinará a você:1. Fundamentos do Mac e iOS: como analisar e analisar manualmente o sistema de arquivos hierárquico (HFS+) e o sistema de arquivos Apple (APFS) e reconhecer os domínios específicos do sistema de arquivos lógicos e tipos de arquivos específicos do Mac.2. Atividade do usuário e do dispositivo: como entender e traçar o perfil de usuários e seus dispositivos por meio de seus arquivos de dados e configurações de preferência.3. Análise e Correlação de Intrusão Avançada: Como determinar como um sistema foi usado ou comprometido usando o sistema e os arquivos de dados do usuário em correlação com os arquivos de log do sistema.4. Tecnologias Apple: como entender e analisar muitos aplicativos específicos para tecnologias Mac e iOS, incluindo Spotlight, iCloud, versões de documentos, FileVault, Continuity, Time Machine e FaceTime.FOR518: Análise forense e resposta a incidentes em Mac e iOS tem como objetivo treinar um investigador completo, mergulhando profundamente na análise forense e de intrusão de Mac e iOS. O curso se concentra em tópicos como os sistemas de arquivos HFS+ e APFS, arquivos de dados específicos do Mac, rastreamento da atividade do usuário, configuração do sistema, análise e correlação de logs do Mac, aplicativos do Mac e tecnologias exclusivas do Mac. Um analista forense de computador que concluir este curso terá as habilidades necessárias para assumir um caso forense de Mac ou iOS.

TODO CONTEÚDO DO CURSO É MINISTRADO EM INGLÊS.Um sistema configurado corretamente é necessário para participar totalmente deste curso. Se você não ler e seguir cuidadosamente estas instruções, provavelmente sairá insatisfeito da aula porque não poderá participar dos exercícios práticos essenciais para este curso. Portanto, recomendamos fortemente que você chegue com um sistema que atenda a todos os requisitos especificados para o curso.Um sistema Mac devidamente configurado é necessário para cada aluno que participa deste curso.REQUISITOS DE HARDWARE E SOFTWARE OBRIGATÓRIOS PARA O SISTEMA 518: Laptop Apple Mac com a seguinte configuração mínima: MacOS 10.13 (ou mais recente) CPU: Intel ou M1 suportado (M2 em teste, mas suportado preliminarmente) Capacidade sem fio 802.11 Recomenda-se 8 GB de RAM ou mais Pelo menos 250 gigabytes de espaço livre no disco rígido do sistema ou em um disco rígido externo. Porta(s) USB 2.0 ou superior (Traga seus adaptadores USB-C para USB-A para os novos Macs!) Os alunos devem ter a capacidade de ter acesso de administrador local em seu sistema operacional host. Alguns softwares de monitoramento e AV podem interferir em alguns exercícios, portanto, desative-os quando necessário. NOTA IMPORTANTE: HARDWARE MAC É NECESSÁRIOA mídia do seu curso agora será entregue por download. Os arquivos de mídia da aula podem ser grandes, alguns na faixa de 40 a 50 GB. Você precisa de bastante tempo para que o download seja concluído. As conexões e a velocidade da Internet variam muito e dependem de muitos fatores diferentes. Portanto, não é possível dar uma estimativa do tempo que levará para baixar seus materiais. Inicie os downloads da mídia do curso assim que receber o link. Você precisará da mídia do curso imediatamente no primeiro dia de aula. Esperar até a noite anterior ao início da aula para iniciar o download tem uma grande probabilidade de falha.O SANS começou a fornecer materiais impressos em formato PDF. Além disso, algumas classes estão usando uma pasta de trabalho eletrônica além dos PDFs. O número de aulas usando eWorkbooks crescerá rapidamente. Neste novo ambiente, descobrimos que um segundo monitor e/ou um tablet pode ser útil para manter os materiais de aula visíveis enquanto o instrutor está apresentando ou enquanto você está trabalhando em exercícios de laboratório.

SEÇÃO 1: Mac e iOS EssencialEsta seção apresenta ao aluno os fundamentos do Mac e do iOS, como aquisição, registros de data e hora, sistema lógico de arquivos e estrutura de disco. Os fundamentos da aquisição são os mesmos com dispositivos Mac e iOS, mas existem algumas dicas e truques que podem ser usados para coletar sistemas Mac e iOS com sucesso, além de facilitar a análise. Os alunos familiarizados com a análise forense do Windows podem aprender facilmente as pequenas diferenças em um sistema Mac – os dados são os mesmos, apenas o formato difere.SEÇÃO 2: Sistemas de arquivos e triagem do sistema Os blocos de construção da perícia forense do Mac e do iOS começam com um entendimento completo do HFS+. Utilizando um editor hexadecimal, os alunos aprenderão os princípios básicos do sistema de arquivos primário implementado em sistemas MacOS. Os alunos usarão essas informações para examinar uma variedade de ótimos artefatos que usam o sistema de arquivos e que são diferentes de outros sistemas operacionais que os alunos viram no passado. Para encerrar o dia, os alunos revisarão os dados de triagem do Mac e do iOS.SEÇÃO 3: Dados do usuário, configuração do sistema e análise de logEsta seção contém uma ampla gama de informações que podem ser usadas para traçar um perfil e entender como os indivíduos usam seus computadores. O sistema de arquivos lógico do Mac é composto de quatro domínios: Usuário, Local, Sistema e Rede. O domínio do usuário contém a maioria dos itens de interesse forense relacionados ao usuário. Este domínio consiste nas preferências e configurações do usuário. Os domínios locais e do sistema contêm informações específicas do sistema, como instalação de aplicativos, configurações e preferências do sistema e logs do sistema. Esta seção detalha informações básicas do sistema, preferências da GUI e dados do aplicativo do sistema. Uma análise básica dos logs do sistema pode fornecer uma boa compreensão de como um sistema foi usado ou abusado. O domínio da rede é mais etéreo e podemos encontrar isso em vários lugares ao longo do curso, bem como nos logs. A análise da linha do tempo conta a história de como o sistema foi usado. Cada entrada em um arquivo de log tem um significado específico e pode informar como o usuário interagiu com o computador. As entradas de log podem ser correlacionadas com outros dados encontrados no sistema para criar uma linha do tempo detalhada que pode ser usada para resolver casos de forma rápida e eficiente. Ferramentas e técnicas de análise serão usadas para correlacionar os dados e ajudar o aluno a recompor a história de maneira coerente e significativaSEÇÃO 4: Análise de Dados do AplicativoAlém de todas as informações de configuração e preferência encontradas no Domínio do Usuário, o usuário pode interagir com uma variedade de aplicativos nativos da Apple, incluindo Internet, e-mail, comunicação, fotos, dados de localização, etc que pode fornecer aos analistas quem, o quê, onde, por que e como para qualquer investigação. Esta seção irá explorar os vários bancos de dados e outros arquivos onde os dados estão sendo armazenados. O aluno será capaz de analisar essas informações manualmente sem a ajuda de uma ferramenta comercial de análise.SEÇÃO 5: Tópicos de análise avançadaOs sistemas Mac implementam algumas tecnologias que estão disponíveis apenas para aqueles com dispositivos Mac e iOS. Isso inclui backup de dados com Time Machine, versões de documentos e iCloud; e criptografia de disco com FileVault.Outros tópicos avançados incluem dados ocultos em contêineres criptografados, resposta ao vivo, intrusão do Mac e análise de malware e análise de memória do Mac.SEÇÃO 6: Forense no Mac e Desafio de Resposta a IncidentesNesta seção final do curso, os alunos testarão suas novas habilidades forenses do Mac executando um cenário da vida real com os membros da equipe.

O conhecimento prático de forense e da linha de comando do Unix é muito útil! Você pode se familiarizar com a linha de comando Unix com estes tutoriais: https://www.codecademy.com/learn/learn-the-command-line https://www.learnenough.com/command-line-tutorial

Ao final do curso, o (a) aluno (a) será capaz de: Analisar manualmente o sistema de arquivos HFS+, usando apenas uma folha de dicas e um editor hexadecimal . Determinar a importância de cada domínio do sistema de arquivos. Realizar análise temporal de um sistema correlacionando arquivos de dados e análise de log . Criar perfil de uso do sistema por indivíduos, incluindo com que frequência o usaram, quais aplicativos frequentaram e suas preferências pessoais de sistema . Determinar backups de dados remotos ou locais, imagens de disco , ou outros dispositivos conectados . Encontrar contêineres criptografados e volumes FileVault, entender os dados das chaves e quebrar senhas do Mac . Analisar e entender os metadados do Mac e sua importância no banco de dados Spotlight, Time Machine e Atributos Estendidos . Desenvolver um conhecimento profundo do navegador Web Safari e aplicativo Apple Mail . Identificar a comunicação com outros usuários e sistemas por meio do iChat, Messages, FaceTime, Remote Login, Screen Sharing, e AirDrop. Realizar uma análise de intrusão de um Mac em busca de sinais de comprometimento ou infecção por malware Adquirir e analisar memória de sistemas Mac Adquirir um iOS e analisar dispositivos em profundidade