Реагирование на инциденты и первичный анализ вредоносного ПО

Реагирование на инциденты и первичный анализ вредоносного ПО

В этом курсе, состоящем исключительно из практических задач, вы закрепите навыки компьютерной криминалистики (DFIR), реагирования на инциденты и первичного анализа вредоносного ПО (malware triage). Вместо пошаговых инструкций вам предстоит работать с реальными артефактами дисков, данными оперативной памяти и результатами реконструкции поведения вредоносного ПО в рамках единого рабочего процесса DFIR.

Почему это важно

Эффективное реагирование на инциденты требует от аналитика умения работать с различными источниками данных, не теряя при этом общей картины происходящего. Артефакты файловой системы, содержимое оперативной памяти и поведение вредоносного ПО отвечают на разные вопросы, и только их комплексный анализ позволяет сделать верные выводы. Этот курс разработан для проверки ваших навыков ведения полноценного расследования.

Поскольку это проектный курс, основной упор делается на профессиональное суждение аналитика и корреляцию доказательств. Вам предстоит самостоятельно принимать решения о том, как извлекать улики, проверять их достоверность и использовать полученные данные на разных этапах криминалистического анализа и исследования вредоносного ПО.

Чему вы научитесь

• Анализировать скомпрометированные образы дисков и сохранять важный криминалистический контекст.
• Проводить экспресс-анализ оперативной памяти для выявления подозрительных процессов и сетевых соединений.
• Реконструировать поведение вредоносного ПО на основе статических и динамических индикаторов.
• Сопоставлять данные, полученные при анализе дисков, памяти и исполняемых файлов.
• Применять комплексный подход, необходимый для проведения полноценных расследований в сфере DFIR.

План курса

• Анализ скомпрометированных дисковых артефактов: восстановление и исследование данных файловой системы скомпрометированной системы.
• Экспресс-анализ оперативной памяти при инцидентах: использование данных из энергозависимой памяти для обнаружения активной или недавней вредоносной деятельности.
• Реконструкция поведения вредоносного ПО: определение функционала подозрительного бинарного файла на основе наблюдаемых доказательств.

Для кого этот курс

• Для тех, кто уже прошел курсы по DFIR и анализу вредоносного ПО и хочет закрепить знания на реалистичном проекте.
• Для специалистов по реагированию на инциденты, желающих отработать навыки кросс-анализа различных типов доказательств.
• Для аналитиков безопасности, стремящихся выработать привычку связывать воедино данные с дисков, памяти и результаты анализа вредоносного ПО.

Результаты

По завершении курса вы научитесь подходить к инциденту как к целостному расследованию, переходя от анализа статических артефактов к изучению данных оперативной памяти и поведения вредоносного ПО, что позволит вам делать более точные выводы о действиях злоумышленников.