FOR528: Ransomware para respondentes de incidentes

Os invasores de ransomware tornaram-se mais sofisticados e suas técnicas evoluem constantemente. É uma ameaça que requer uma resposta imediata, especialmente na empresa. FOR528: Ransomware para respondentes de incidentes abrange todo o ciclo de vida de um incidente, desde a detecção inicial até a resposta ao incidente e a análise post mortem. Embora não haja como se preparar para todos os cenários possíveis, nosso curso usa ataques do mundo real habilmente planejados e seus artefatos forenses subsequentes para fornecer a você, o analista, tudo o que você precisa para responder quando a ameaça se tornar uma realidade.A ameaça de ransomware evoluiu ao longo do tempo de uma infecção de máquina única após um clique imprudente do mouse para se tornar uma empresa em expansão capaz de prejudicar até redes grandes e pequenas. FOR528 ensina os alunos a lidar com as especificidades do ransomware para se preparar, detectar, caçar, responder e lidar com as consequências do ransomware. A aula inclui vários métodos de busca, uma abordagem prática para aprender usando dados do mundo real e um curso prático de um dia inteiro para ajudar os alunos a solidificar seu aprendizado.As campanhas de ransomware agora seguem as Táticas, Técnicas e Procedimentos (TTPs) de ataques em larga escala. Este curso mostra quais artefatos coletar, como coletá-los, como dimensionar seus esforços de coleta, como analisar os dados e como revisar os resultados analisados de forma agregada. O curso também fornece detalhes junto com métodos de detecção para cada fase do ciclo de vida do ataque de ransomware. Essas fases incluem: Acesso Inicial, Execução, Evasão de Defesa, Persistência, Escalação de Privilégios, Acesso a Credenciais, Movimento Lateral, Ataques no Active Directory, Acesso a Dados e Exfiltração de Dados. 

TODO CONTEÚDO DO CURSO É MINISTRADO EM INGLÊS!IMPORTANTE – TRAGA SEU PRÓPRIO SISTEMA CONFIGURADO USANDO ESTAS INSTRUÇÕES!!Um sistema devidamente configurado é necessário para cada aluno que participa deste curso. Antes de ir para a aula, leia atentamente e siga exatamente estas instruções.Você pode usar qualquer versão de 64 bits do Windows, Mac OSX ou Linux como sistema operacional principal, desde que possa instalar e executar produtos de virtualização VMware. Os alunos recebem um laboratório forense digital que consiste em duas (2) máquinas virtuais VMware (VMs). Você deve ter um mínimo de 12 gigabytes (GB) de RAM ou superior para que as VMs de classe funcionem, mas 16 GB de RAM é altamente recomendado para a melhor experiência.A quantidade recomendada de RAM facilitará a execução de ambas as VMs fornecidas com seu curso:FOR528 Windows VM: 4 GB de RAM necessáriosFOR528 SIFT VM: 8 GB de RAM recomendadoÉ fundamental que sua CPU e sistema operacional suportem aplicativos de 64 bits para que nossas VMs convidadas de 64 bits possam ser executadas em seu laptop. A VMware oferece uma ferramenta gratuita para Windows e Linux que detecta se o seu host oferece suporte a VMs convidadas de 64 bits. Para obter mais soluções de problemas, este artigo também fornece instruções para usuários do Windows determinarem mais sobre os recursos da CPU e do sistema operacional. Para Macs, use esta página de suporte da Apple para determinar a capacidade de 64 bits.Baixe e instale VMWare Workstation, VMware Fusion ou VMware Player em seu sistema antes do início da aula. Sua versão do VMware não pode ser mais de uma versão anterior à versão mais recente disponível do software. Se você não possui uma cópia licenciada do VMware Workstation ou Fusion, pode baixar uma cópia de avaliação gratuita de 30 dias da VMwareREQUISITOS DE HARDWARE DO SISTEMA OBRIGATÓRIOS PARA 528:CPU: Processador Intel i5/i7 de 64 bits (4ª geração+) x64 bits 2.0+ GHz ou processador mais recente é obrigatório para esta classe (Importante: um processador de sistema de 64 bits é OBRIGATÓRIO.)Importante: esta aula usa VMs x64 que exigem processadores Intel. Os computadores Apple com chips M1/M2 não executarão essas VMs e, portanto, não podem ser usados para esta classe .12 GB de RAM ou superior é necessário para esta classe (Importante – 8 GB de RAM ou superior de RAM é o mínimo. Uma máquina com apenas 8 GB de RAM não executará as duas VMs ao mesmo tempo, o que afetará a experiência de aprendizado. Para a melhor experiência, recomenda-se mais de 16 GB de RAM.)IMPORTANTE: Qualquer dispositivo com menos de 16 GB de RAM pode não conseguir executar as duas VMs ao mesmo tempo, o que prejudicará seus esforços de análise e, portanto, sua experiência geral de aprendizado.Tamanho do disco rígido do sistema host de 300 GBMínimo de 150 GB de espaço livre no disco rígido hostRecomendamos um mínimo de 200 GB de espaço livre no disco rígido para facilitar a obtenção de instantâneos de suas VMsOs alunos devem ter acesso de administrador local em seu sistema operacional host e acesso às configurações do BIOSREQUISITOS DE SOFTWARE DO SISTEMA OBRIGATÓRIOS PARA 528:Sistema operacional host: Windows totalmente corrigido e atualizado, Mac OSX (10.10+) ou uma versão recente do sistema operacional Linux (lançado em 2016 ou posterior) que também pode instalar e executar produtos de virtualização VMware (VMware Workstation, VMware Fusion, VMware Player).INSTALE O SEGUINTE SOFTWARE ANTES DA AULA:Instale o VMware Workstation, o VMware Fusion ou o VMware Player (sua versão não deve ser mais do que uma versão anterior à mais recente disponível no VMware.EM RESUMO, ANTES DE COMEÇAR O CURSO, VOCÊ DEVE:Traga o hardware de sistema adequado (64 bits / 12 GB + RAM) e a configuração do sistema operacionalInstale o VMware (Workstation, Player ou Fusion) e verifique se tudo está funcionando antes da aula.Consulte o Laboratório 0 em sua pasta de trabalho digital junto com o ISO do curso fornecido para obter detalhes específicos sobre como configurar as VMs do curso.

SEÇÃO 1: Fundamentos da Resposta a Incidentes com RansomwareO curso Ransomware para Respondentes de Incidentes começa com uma revisão do histórico do ransomware. Começamos com a história do primeiro ataque de ransomware conhecido e avançamos para as ameaças atuais que pairam sobre nosso setor. Nossas vidas conectadas internamente, para não mencionar os meios de subsistência, estão em risco todos os dias graças ao advento do Ransomware operado por humanos (HumOR) e do Ransomware-as-aService (RaaS). Você entenderá melhor essas ameaças à medida que nos aprofundarmos nas funções, processos, métodos de comunicação e atividades relacionadas a essas ameaças. A seção passa a se concentrar no modelo de Abordagem Dinâmica para Resposta a Incidentes (DAIR) e como ele se relaciona com o ransomware.Depois de aprender sobre as verdadeiras ameaças que enfrentamos e como podemos aplicar práticas de RI em geral, começamos nosso mergulho profundo nos artefatos forenses baseados em Windows mais adequados para análise de campanha de ransomware. Você aprenderá quais artefatos coletar junto com quais ferramentas e métodos são mais adequados para aquisição e análise. Independentemente do nível de preparação da sua organização, abordaremos o que você pode fazer para obter dados que facilitarão a análise. Você aprenderá as abordagens práticas para aquisição direta em máquinas únicas e, em seguida, fará a transição para aquisição e análise em escala. Laboratórios práticos detalhados orientam você pelos métodos de análise para cada tipo de ambiente. Você usará TimeSketch e Kibana para analisar artefatos, garantindo que você reconheça técnicas para garantir vitórias fáceis e práticas de análise mais avançadas para ajudar você e sua organização a responder à ameaça de ransomware.SEÇÃO 2: Ransomware Modus OperandiO segundo dia faz a transição do conhecimento fundamental para cobrir os estágios iniciais de um ciclo de ataque de campanha de ransomware. Começamos abordando acesso inicial, execução, evasão de defesa e abuso do mecanismo de script. A maioria dos casos de ransomware envolve atores que usam mecanismos de script, como PowerShell, scripts em lote, JavaScript e scripts do Visual Basic, entre outros. Nestas primeiras seções do dia, discutimos as várias ferramentas e scripts que vemos repetidamente, fornecendo uma visão geral de cada ferramenta junto com detalhes para busca e detecção. Em seguida, passamos a discutir a persistência. Você aprenderá sobre mecanismos comuns de comando e controle (C2), soluções de monitoramento e gerenciamento remoto (RMM) e métodos nativos do Windows que os operadores de ransomware usam para manter o acesso a um ambiente.Em seguida, cobrimos o escalonamento de privilégios, o acesso a credenciais e o movimento lateral. Quais ferramentas os agentes de ransomware usam para aumentar os privilégios nas máquinas? Como eles acessam as credenciais armazenadas dos hosts do Windows? Quais processos são frequentemente descartados, por que e como? Para Movimento Lateral, você aprenderá como RDP, SMB (inc. especificamente PsExec), WinRM e outros métodos são usados para se mover pela rede da vítima.Nossa próxima seção se concentra inteiramente em ataques contra o Microsoft Active Directory (AD). Os operadores de ransomware adoram atacar o AD, então vamos detalhar as várias maneiras pelas quais eles tiram proveito de configurações ruins do AD para escalar privilégios e credenciais de acesso. Nossa seção final do dia cobre acesso a dados e exfiltração de dados. Esta é uma das seções mais críticas do curso. As organizações sempre querem saber quais dados podem ter sido acessados e/ou roubados. Cobrimos métodos de arquivamento e preparação de dados, incluindo maneiras de buscar as ferramentas que facilitam essas atividades. Você acreditaria que o FTP é uma rota de exfiltração comum? Terminamos o dia apresentando métodos para detectar a exfiltração de dados. Como você pode detectar melhor os dados sendo exfiltrados, mesmo que não saiba quais dados estão sendo exfiltrados? Nós mostraremos a você!SEÇÃO 3: Conceitos Avançados de RansomwareO terceiro dia do nosso curso começa com os tópicos mais temidos de um ataque de ransomware: implantação da carga útil do Ransomware e o funcionamento interno da criptografia. Você aprenderá sobre adulteração de backup e recuperação, juntamente com os métodos pelos quais os agentes de ransomware atacam os sistemas de backup. As maneiras pelas quais os atores cobrem seus rastros podem parecer óbvias, simplesmente porque são! Terminamos esta seção com detalhes técnicos relativos aos métodos de implantação de carga útil mais comuns.Em seguida, passamos a uma análise aprofundada do Cobalt Strike (CS), uma ferramenta de emulação de adversário e simulação de ataque que se tornou “muito” boa em seu trabalho. Muitos profissionais de segurança em todo o mundo, como testadores de penetração e red teams, confiam no CS. Infelizmente, vemos essa ferramenta comercial extremamente poderosa em uma porcentagem muito alta de ataques de ransomware. Você aprenderá sobre a infraestrutura da ferramenta, perfis Maleable C2 e métodos de detecção/desofuscação de carga útil. Isso inclui um laboratório prático no qual você aprenderá a decodificar cargas úteis de CS.A próxima seção aborda o que fazer se você estiver prestes a ser criptografado, estiver sendo criptografado no momento ou tiver sido criptografado recentemente. Cobrimos as ações que você precisa realizar incluindo as entidades que você precisa contatar, os departamentos que você precisa envolver e os processos que você precisa implementar com atenção especial aos requisitos temporais. O tempo está passando! As duas seções finais do dia fornecem um estudo de caso do grupo de ransomware Conti, juntamente com técnicas de caça úteis. Embora a atividade do Conti tenha diminuído recentemente, os vários vazamentos que obtivemos e analisamos como uma comunidade mostram como o grupo operava. Por fim, abordamos métodos de busca, como identificar executáveis renomeados, arquivos/processos maliciosos por meio de análise de diretório, ataques comuns por meio de análise de log AV e muito mais.SEÇÃO 4: Course Capstone Challenge Nada, e não queremos dizer nada, pode prepará-lo melhor para responder a incidentes de ransomware do que a experiência. Como você realmente não deseja obter essa experiência em sua organização, oferecemos um Desafio Capstone de um dia inteiro que fará com que você analise incidentes de ransomware desde o vetor de infecção até a carga útil de criptografia em execução no ambiente. Criamos uma organização de vítimas, Samaran Protect, com a qual você provavelmente pode relacionar sua organização. Nosso Desafio Capstone consiste em mais de 150 perguntas referentes a dois cenários de ataque especialmente elaborados contra nossa organização de vítimas. A rede da nossa vítima alvo inclui 15 hosts com três VLANs

Para participar deste treinamento sugere-se experiência em Resposta a Incidentes (IR). Este curso é voltado para o respondente de incidentes que precisa responder a ataques de ransomware. Assim, recomenda-se a experiência de IR ou pelo menos a experiência de triagem de alerta, como uma adquirida em um SOC ou CIRT. A experiência adicional recomendada inclui identificação e análise de artefatos do Windows, como se aprende em FOR500: Análise Forense no Windows. Por fim, recomendamos a familiaridade com expressões regulares (regex) juntamente com o uso geral do SIEM.Todos esses itens são abordados no curso, mas a ideia geral é ter experiência em incidentes em um ambiente corporativo.

O Curso FOR528 Ransomware para Respondentes de Incidentes ajudará você a entender:Como o ransomware evoluiu para se tornar um grande negócio;Como os operadores de ransomware operado por humanos (HumOR) evoluíram para equipes de ataque bem estruturadas;Quem e quais verticais são mais importantes e têm maior risco de se tornar uma vítima de ransomware;Como os operadores de ransomware entram nos ambientes de suas “vítimas”;Qual a melhor forma de preparar sua organização contra a ameaça do HumOR;Como identificar as ferramentas que os operadores do HumOR costumam usar para entrar e realizar atividades pós-exploração durante um ataque de ransomware;Como caçar operadores de ransomware em sua rede;Como responder quando o ransomware está sendo executado ativamente em seu ambiente;Quais etapas seguir após um ataque de ransomware;Como identificar a exfiltração de dados.