Malware, czyli inaczej złośliwe oprogramowanie, to problem dotykający zarówno firm jak i użytkowników domowych. Żyjemy w czasach powszechnego szpiegostwa gospodarczego, masowego i codziennego zalewania skrzynek mailowych kampaniami z ransomwarem oraz coraz głośniejszych ataków APT przeprowadzanych z wykorzystaniem exploitów 0day. Dlatego warto wiedzieć jak szybko sprawdzić, czy plik .exe lub .pif na który kliknął nasz pracownik to “niegroźny” i znany Cryptolocker, czy może bardziej zaawansowany RAT, ukierunkowany stricte pod naszą firmę i kradnący konkretne pliki. Szybka i sprawna reakcja jest podstawą w walce ze złośliwym oprogramowaniem.
Niniejsze szkolenie pokazuje jak w zbudować środowisko do natychmiastowej analizy złośliwego malware’u, które pozwoli odpowiedzieć na pytanie, czy atak wymierzony w twoją firmę jest masowy czy ukierunkowany, a dodatkowo pomoże ustalić jakie funkcję posiada złośliwe oprogramowanie, czy służy do inwigilacji i kradzieży konkretnych plików czy tylko do szyfrowania całej partycji. Szkolenie pomoże także w poszukiwaniu odpowiedzi na to, jak malware dostał się do Twojego systemu i czy jego autor pozostawił ślady, które pozwolą w zidentyfikowaniu jego tożsamości. Szkolenie ma charakter mocno techniczny i typowo warsztatowy.
Dzięki temu szkoleniu…
- poznasz dziesiątki narzędzi używanych podczas analizy malware’u i pomagających w prewencji przed przyszłymi atakami
- własnoręcznie dokonasz analizy zainfekowanej maszyny na poziomie systemy plików i ruchu sieciowegom, dzięki czemu dowiesz się jak sprawnie reagować na trwający incydent związany ze złośliwym oprogramowaniem
- nauczysz się rozpoznawać i analizować nieprawidłowości oraz podejrzane wzorce w plikach wykonywalnych (EXE) a także dokumentach Microsoft Office i PDF
- poznasz wewnętrzne mechanizmy działania systemu operacyjnego Windows, struktury plików wykonywalnych oraz dokumentów
- dowiesz się jak poprawnie przeprowadzić deasemblację plików wykonywalnych
- przeprowadzisz kompletną analizę funkcjonalną realnych próbek złośliwego oprogramowania wykorzystywanych w atakach na Polaków (w ujęciu behawioralnym, statycznym i dynamicznym) zakończoną utworzeniem sygnatur YARA, pomagającym w obsłudze aktywnych incydentów
- poznasz tricki pozwalające na błyskawiczną analizę złośliwych plików MS Office
Do kogo jest kierowane szkolenie?
Szkolenie kierujemy przede wszystkich do osób, które pracują w branży bezpieczeństwa IT, a w szczególności:
- administratorów systemów
- członków zespołów reagujących na incydenty
- osób zajmujących się informatyką śledczą
- pentesterów
- programistów i testerów aplikacji
- wszystkich tych, którzy myślą o karierze w branży antywirusowej
…ale tak naprawdę, z otwartymi rękami powitamy każdą osobę która chce podnosić swoje kwalifikacje i wiedzę w temacie złośliwego oprogramowania — dla nas wszyscy jesteście żądnymi wiedzy ludźmi, a nie stanowiskami ;-)
Czas trwania i miejsce szkolenia
Szkolenie Analiza Malware’u trwa 2 dni, a najbliższe terminy zostały opisane na tej stronie. Zaczynamy o 9:00 (w Krakowie) lub o 10:00 (w Warszawie), a kończymy w momencie, w którym z sił opadnie ostatnia osoba :-)
Ponieważ szkolenia informatyczne to nie tylko wiedza, ale i okazja żeby nawiązać wartościowe znajomości, po pierwszym dniu zajęć zapraszamy na popołudniowe afterparty w jednym z pobliskich pubów. W luźnej atmosferze wymienimy się ciekawymi historiami z wykonanych testów penetracyjnych i analiz incydentów (oczywiście bez podawania nazw firm ;). Jedyna taka okazja, żeby usłyszeć jak w firmie X rozwiązano problem Y…
Tematyka szkolenia, wybrane zagadnienia
- Omówienie celów i motywacji analizy wirusów komputerowych
- Uogólniony schemat funkcjonalności malware’u
- Wzorce interakcji wirusów z systemem
- Procedura śledczej analizy zainfekowanej maszyny
- Praktyczna śledcza analiza zrzutu pamięci
- Podstawy analizy złośliwych plików wykonywalnych
- Inspekcja złośliwych dokumentów MS Office
- Inspekcja złośliwych plików PDF
- 2 dni szkoleniowe,
- 2 dwudaniowe obiady w pobliskiej restauracji,
- nielimitowany catering w przerwach (kawa, herbata, soki, ciasteczka),
- materiały szkoleniowe (podręcznik będący zapisem prezentacji i obrazy maszyn wirtualnych)
- imienny certyfikat ukończenia szkolenia
- gadżety-niespodzianki rozdawane pod koniec szkolenia związane z bezpieczeństwem :-)
-
○ Strategie przetrwania restartu systemu
○ Rekonesans środowiska, kradzież danych
○ Lateral Movement: rozprzestrzenianie infekcji
○ Omówienie działań ofensywnych
○ Opcjonalne techniki defensywne
-
○ Ślady po osadzeniu się, metody przetrwania restartu
○ Szybki wstęp do budowy plików PE
○ Infekcje procesów: Process hijacking/hollowing, inline patching, remote threads
○ API Hooking: Tablice importów i eksportów (IAT/EAT hooking), hot-patching
○ Keyloggery, techniki MITM, Browser Injection, Bankery
-
○ Ujęcie śledcze, zasada Locarda, ulotność danych
○ Schemat śledczej obsługi incydentu
○ Zbieranie danych tymczasowych
○ Pozyskiwanie zrzutu pamięci RAM
○ Analiza ruchu sieciowego (DNS spoofing / sinkholing)
○ Istota rejestru w odtwarzaniu aktywności użytkownika
○ Tworzenie sygnatur na potrzeby detekcji aktywnej infekcji w firmie
-
○ Praktyczna śledcza analiza zrzutu pamięci
○ Istota zrzuconej pamięci w analizie infekcji
○ Praca z oprogramowaniem Rekall / Volatility
○ Przegląd i omówienie funkcjonalności
-
○ Schemat analizy plików wykonywalnych
○ Omówienie technik analizy behawioralnej
○ Podstawy analizy statycznej
○ Podstawy analizy dynamicznej
○ Wypakowywanie i rekonstrukcja próbek
-
○ Struktura plików MS Office, kontenery OLE
○ Makra, typowe podatności
○ Podstawy Visual Basica: Typowe API, konstrukcje, Obfuskacja
○ Omówienie celów, oraz technik inspekcji i ekstrakcji danych
-
○ Omówienie struktury, strumieni, wariacji kodowań, kompresji i obfuskacji
○ Omówienie niebezpiecznych rodzajów zdarzeń w PDFach
○ API/Interfejsy ze znanymi podatnościami
○ Metody ekstrakcji, deobfuskacji i analizy osadzonych zasobów w PDFach
Wymagania
Szkolenie ma charakter mocno techniczny i typowo warsztatowy. W związku z tym, zaleca się by uczestnicy odświeżyli sobie podstawową wiedzę o systemie MS Windows, strukturze rejestru i obsłudze linii poleceń (a także konfiguracji ścieżki %PATH%) oraz by przejrzeli podstawowy zbiór instrukcji procesorów Intel x86. Znajomość wywołań (stdcall, cdecl) oraz elementarnych konstrukcji assemblerowymi (pętle, odwołania do zmiennych globalnych, ramka funkcji, itd.) nie jest wymagana, ale mocno zalecana, aby sprawniej przejść przez część laboratoryjną.
Trener:
Szkolenie poprowadzi Mariusz Banach, analityk i programista, od kilku lat zajmujący się problematyką wirusów komputerowych i bezpieczeństwem systemu operacyjnego MS Windows. Mariusz pracował w krakowskim oddziale Virus Labu firmy ESET, gdzie przeprowadzał analizy złożonych nowoczesnych wirusów komputerowych, by następnie jako już programista zająć się opracowywaniem specjalistycznych narzędzi ukierunkowanych na usuwanie aktywnych infekcji polimorficznymi wirusami infekującymi (tzw. Standalone Cleanery) jak i rozwijaniem jednego z modułów flagowego tej firmy produktu antywirusowego. Obecnie członek zespołu bezpieczeństwa w Niebezpiecznik.
Cena:
Najbliższe terminy to:
-
Cena obejmuje:
Brzmi świetnie, chce się zapisać!
Jeśli chcesz wziąć udział w szkoleniu, skontaktuj się z nami telefonicznie pod numerem +48 12 44 202 44 lub wypełnij poniższy formularz, a skontaktujemy się z Tobą aby ustalić szczegóły:
Jeśli jesteś zainteresowany tym szkoleniem prowadzonym w formie zamkniętej (szkolenie dedykowane tylko pracownikom Twojej firmy, i prowadzone w Twojej siedzibie), prosimy o kontakt telefoniczny: +48 12 44 202 44.
O szkoleniach Niebezpiecznika
Nasze szkolenie posiada unikatową formułę: minimum teorii, maksimum praktyki. Każde z omawianych zagadnień poprzedzamy teoretycznym wstępem oraz demonstracją zagadnienia w wykonaniu trenera, ale główny nacisk kładziemy na ćwiczenia praktyczne wykonywane przez uczestników.
Ćwiczeniom praktycznym poświęcamy najwięcej czasu, ponieważ pozwalają każdemu uczestnikowi szkolenia własnoręcznie wykonać omawiane zadania. Podczas szkolenia do dyspozycji uczestników oddajemy sieć laboratoryjną, w której znajdują się specjalnie przygotowane systemy i aplikacje, wykorzystujące spotykane w rzeczywistym świecie techniki.
Dlaczego stawiamy na praktykę? Bo sama teoria w bezpieczeństwie nie wystarcza.
powiedz mi, a zapomnę, pokaż — a zapamiętam, pozwól mi działać, a zrozumiem!
Po naszym szkoleniu będziesz naprawdę zmęczony, ale uwierz nam, że zamiast o odejściu od komputera będziesz myślał wyłącznie o tym, jak dalej pogłębiać swoją wiedze.
Dobra, przekonaliście mnie, chcę się zapisać!