0

Malware, czyli inaczej złośliwe oprogramowanie, to problem dotykający zarówno firm jak i użytkowników domowych. Żyjemy w czasach powszechnego szpiegostwa gospodarczego, masowego i codziennego zalewania skrzynek mailowych kampaniami z ransomwarem oraz coraz głośniejszych ataków APT przeprowadzanych z wykorzystaniem exploitów 0day. Dlatego warto wiedzieć jak szybko sprawdzić, czy plik .exe lub .pif na który kliknął nasz pracownik to “niegroźny” i znany Cryptolocker, czy może bardziej zaawansowany RAT, ukierunkowany stricte pod naszą firmę i kradnący konkretne pliki. Szybka i sprawna reakcja jest podstawą w walce ze złośliwym oprogramowaniem.

Niniejsze szkolenie pokazuje jak w zbudować środowisko do natychmiastowej analizy złośliwego malware’u, które pozwoli odpowiedzieć na pytanie, czy atak wymierzony w twoją firmę jest masowy czy ukierunkowany, a dodatkowo pomoże ustalić jakie funkcję posiada złośliwe oprogramowanie, czy służy do inwigilacji i kradzieży konkretnych plików czy tylko do szyfrowania całej partycji. Szkolenie pomoże także w poszukiwaniu odpowiedzi na to, jak malware dostał się do Twojego systemu i czy jego autor pozostawił ślady, które pozwolą w zidentyfikowaniu jego tożsamości. Szkolenie ma charakter mocno techniczny i typowo warsztatowy.

Dzięki temu szkoleniu…

  • poznasz dziesiątki narzędzi używanych podczas analizy malware’u i pomagających w prewencji przed przyszłymi atakami
  • własnoręcznie dokonasz analizy zainfekowanej maszyny na poziomie systemy plików i ruchu sieciowegom, dzięki czemu dowiesz się jak sprawnie reagować na trwający incydent związany ze złośliwym oprogramowaniem
  • nauczysz się rozpoznawać i analizować nieprawidłowości oraz podejrzane wzorce w plikach wykonywalnych (EXE) a także dokumentach Microsoft Office i PDF
  • poznasz wewnętrzne mechanizmy działania systemu operacyjnego Windows, struktury plików wykonywalnych oraz dokumentów
  • dowiesz się jak poprawnie przeprowadzić deasemblację plików wykonywalnych
  • przeprowadzisz kompletną analizę funkcjonalną realnych próbek złośliwego oprogramowania wykorzystywanych w atakach na Polaków (w ujęciu behawioralnym, statycznym i dynamicznym) zakończoną utworzeniem sygnatur YARA, pomagającym w obsłudze aktywnych incydentów
  • poznasz tricki pozwalające na błyskawiczną analizę złośliwych plików MS Office

Do kogo jest kierowane szkolenie?

Szkolenie kierujemy przede wszystkich do osób, które pracują w branży bezpieczeństwa IT, a w szczególności:

  • administratorów systemów
  • członków zespołów reagujących na incydenty
  • osób zajmujących się informatyką śledczą
  • pentesterów
  • programistów i testerów aplikacji
  • wszystkich tych, którzy myślą o karierze w branży antywirusowej

…ale tak naprawdę, z otwartymi rękami powitamy każdą osobę która chce podnosić swoje kwalifikacje i wiedzę w temacie złośliwego oprogramowania — dla nas wszyscy jesteście żądnymi wiedzy ludźmi, a nie stanowiskami ;-)

Każdy uczestnik naszych szkoleń musi podpisać deklarację, że z poznane techniki exploitacji i narzędzia będzie wykorzystywał wyłącznie w celu testowania bezpieczeństwa swoich własnych aplikacji.

Czas trwania i miejsce szkolenia

Szkolenie Analiza Malware’u trwa 2 dni, a najbliższe terminy zostały opisane na tej stronie. Zaczynamy o 9:00 (w Krakowie) lub o 10:00 (w Warszawie), a kończymy w momencie, w którym z sił opadnie ostatnia osoba :-)

Ponieważ szkolenia informatyczne to nie tylko wiedza, ale i okazja żeby nawiązać wartościowe znajomości, po pierwszym dniu zajęć zapraszamy na popołudniowe afterparty w jednym z pobliskich pubów. W luźnej atmosferze wymienimy się ciekawymi historiami z wykonanych testów penetracyjnych i analiz incydentów (oczywiście bez podawania nazw firm ;). Jedyna taka okazja, żeby usłyszeć jak w firmie X rozwiązano problem Y…

Tematyka szkolenia, wybrane zagadnienia

Każdy z podpunktów związany jest z praktycznym ćwiczeniem — dla przejrzystości konspektu, nie zostało to wyszczególnione powyżej.
  • Omówienie celów i motywacji analizy wirusów komputerowych
  • Uogólniony schemat funkcjonalności malware’u
    • ○ Strategie przetrwania restartu systemu
      ○ Rekonesans środowiska, kradzież danych
      ○ Lateral Movement: rozprzestrzenianie infekcji
      ○ Omówienie działań ofensywnych
      ○ Opcjonalne techniki defensywne
  • Wzorce interakcji wirusów z systemem
    • ○ Ślady po osadzeniu się, metody przetrwania restartu
      ○ Szybki wstęp do budowy plików PE
      ○ Infekcje procesów: Process hijacking/hollowing, inline patching, remote threads
      ○ API Hooking: Tablice importów i eksportów (IAT/EAT hooking), hot-patching
      ○ Keyloggery, techniki MITM, Browser Injection, Bankery
  • Procedura śledczej analizy zainfekowanej maszyny
    • ○ Ujęcie śledcze, zasada Locarda, ulotność danych
      ○ Schemat śledczej obsługi incydentu
      ○ Zbieranie danych tymczasowych
      ○ Pozyskiwanie zrzutu pamięci RAM
      ○ Analiza ruchu sieciowego (DNS spoofing / sinkholing)
      ○ Istota rejestru w odtwarzaniu aktywności użytkownika
      ○ Tworzenie sygnatur na potrzeby detekcji aktywnej infekcji w firmie
  • Praktyczna śledcza analiza zrzutu pamięci
    • ○ Praktyczna śledcza analiza zrzutu pamięci
      ○ Istota zrzuconej pamięci w analizie infekcji
      ○ Praca z oprogramowaniem Rekall / Volatility
      ○ Przegląd i omówienie funkcjonalności
  • Podstawy analizy złośliwych plików wykonywalnych
    • ○ Schemat analizy plików wykonywalnych
      ○ Omówienie technik analizy behawioralnej
      ○ Podstawy analizy statycznej
      ○ Podstawy analizy dynamicznej
      ○ Wypakowywanie i rekonstrukcja próbek
  • Inspekcja złośliwych dokumentów MS Office
    • ○ Struktura plików MS Office, kontenery OLE
      ○ Makra, typowe podatności
      ○ Podstawy Visual Basica: Typowe API, konstrukcje, Obfuskacja
      ○ Omówienie celów, oraz technik inspekcji i ekstrakcji danych
  • Inspekcja złośliwych plików PDF
    • ○ Omówienie struktury, strumieni, wariacji kodowań, kompresji i obfuskacji
      ○ Omówienie niebezpiecznych rodzajów zdarzeń w PDFach
      ○ API/Interfejsy ze znanymi podatnościami
      ○ Metody ekstrakcji, deobfuskacji i analizy osadzonych zasobów w PDFach
    Szkolenie odbywa się w formule BYOL (Bring Your Own Laptop). Minimalne wymagania sprzętowe to 4GB RAM (zalecane 8+ GB RAM), 50GB HDD oraz zainstalowany darmowy (i dostępny na każdy system operacyjny program Oracle VirtualBox). Trener na tydzień przed startem szkolenia udostępni uczestnikom instrukcję stworzenia i konfiguracji maszyn wirtualnych, na których będą odbywały się laboratoria. Uczestnik szkolenia musi dysponować obrazem systemu Windows 7 x86 (wersja Professional nie jest obligatoryjna, tak samo instalacja Service Pack’ów). Instalację bazową (lub uruchomienie) tego systemu należy przeprowadzić samodzielnie na podstawie przesłanej przez trenera przed szkoleniem instrukcji. O legalność systemu i poprawność licencji zadbać musi uczestnik szkolenia. Większość licencji komercyjnych Microsoftu pozwala na posiadanie jednej kopii danego systemu w formie zwirtualizowanej, a więc zakup dodatkowej licencji tylko i wyłącznie na cele szkoleniowe nie powinien być wymagany. Weryfikację tego zezwolenia uczestnik szkolenia musi jednak przeprowadzić samodzielnie, w oparciu o posiadane przez jego firmę typy licencji.

    Wymagania

    Szkolenie ma charakter mocno techniczny i typowo warsztatowy. W związku z tym, zaleca się by uczestnicy odświeżyli sobie podstawową wiedzę o systemie MS Windows, strukturze rejestru i obsłudze linii poleceń (a także konfiguracji ścieżki %PATH%) oraz by przejrzeli podstawowy zbiór instrukcji procesorów Intel x86. Znajomość wywołań (stdcall, cdecl) oraz elementarnych konstrukcji assemblerowymi (pętle, odwołania do zmiennych globalnych, ramka funkcji, itd.) nie jest wymagana, ale mocno zalecana, aby sprawniej przejść przez część laboratoryjną.

    Trener:

    Szkolenie poprowadzi Mariusz Banach, analityk i programista, od kilku lat zajmujący się problematyką wirusów komputerowych i bezpieczeństwem systemu operacyjnego MS Windows. Mariusz pracował w krakowskim oddziale Virus Labu firmy ESET, gdzie przeprowadzał analizy złożonych nowoczesnych wirusów komputerowych, by następnie jako już programista zająć się opracowywaniem specjalistycznych narzędzi ukierunkowanych na usuwanie aktywnych infekcji polimorficznymi wirusami infekującymi (tzw. Standalone Cleanery) jak i rozwijaniem jednego z modułów flagowego tej firmy produktu antywirusowego. Obecnie członek zespołu bezpieczeństwa w Niebezpiecznik.

    Cena:

    Najbliższe terminy to:

      Cena obejmuje:

      • 2 dni szkoleniowe,
      • 2 dwudaniowe obiady w pobliskiej restauracji,
      • nielimitowany catering w przerwach (kawa, herbata, soki, ciasteczka),
      • materiały szkoleniowe (podręcznik będący zapisem prezentacji i obrazy maszyn wirtualnych)
      • imienny certyfikat ukończenia szkolenia
      • gadżety-niespodzianki rozdawane pod koniec szkolenia związane z bezpieczeństwem :-)

    Brzmi świetnie, chce się zapisać!

    Jeśli chcesz wziąć udział w szkoleniu, skontaktuj się z nami telefonicznie pod numerem +48 12 44 202 44 lub wypełnij poniższy formularz, a skontaktujemy się z Tobą aby ustalić szczegóły:

    Jeśli chcesz wziąć udział w naszych szkoleniach, zarejestruj się telefonicznie pod numerem 12-44-202-44 lub wypełnij poniższy formularz, a skontaktujemy się z Tobą aby ustalić szczegóły.

    Na które szkolenie chcesz się zarejestrować? (wybierz)

    Imię i nazwisko (wymagane)

    Adres e-mail (wymagane)

    Numer telefonu (wymagane):

    Tematykę szkolenia znam (wymagane):

    Dane Firmy (do faktury):
    (Opłacasz samodzielnie? Wpisz: "OSOBA PRYWATNA")

    Uwagi (np. dane osoby zgłaszającej, pytania)?

    Rozwiąż proszę równanie (zabezpieczenie przed botami):
    2+9 =



    Możesz taże pobrać powyższy formularz zgłoszeniowy gotowy do druku (PDF) i przedstawić swojemu przełożonemu lub działowi HR.

    Jeśli jesteś zainteresowany tym szkoleniem prowadzonym w formie zamkniętej (szkolenie dedykowane tylko pracownikom Twojej firmy, i prowadzone w Twojej siedzibie), prosimy o kontakt telefoniczny: +48 12 44 202 44.

    O szkoleniach Niebezpiecznika

    Nasze szkolenie posiada unikatową formułę: minimum teorii, maksimum praktyki. Każde z omawianych zagadnień poprzedzamy teoretycznym wstępem oraz demonstracją zagadnienia w wykonaniu trenera, ale główny nacisk kładziemy na ćwiczenia praktyczne wykonywane przez uczestników.

    Ćwiczeniom praktycznym poświęcamy najwięcej czasu, ponieważ pozwalają każdemu uczestnikowi szkolenia własnoręcznie wykonać omawiane zadania. Podczas szkolenia do dyspozycji uczestników oddajemy sieć laboratoryjną, w której znajdują się specjalnie przygotowane systemy i aplikacje, wykorzystujące spotykane w rzeczywistym świecie techniki.

    Dlaczego stawiamy na praktykę? Bo sama teoria w bezpieczeństwie nie wystarcza.

    powiedz mi, a zapomnę, pokaż — a zapamiętam, pozwól mi działać, a zrozumiem!

    Po naszym szkoleniu będziesz naprawdę zmęczony, ale uwierz nam, że zamiast o odejściu od komputera będziesz myślał wyłącznie o tym, jak dalej pogłębiać swoją wiedze.

    Dobra, przekonaliście mnie, chcę się zapisać!