Szkolenie z analizy wiadomości phishing:
Szkolenie obejmuje ręczną analizę wiadomości phishingowych, w tym: analizę nagłówków, analizę załączników (w zakresie podstawowym), analizę treści wiadomości, analizę hiperłączy, analizę transakcji HTTP, głęboką inspekcję pakietów dla protokołów HTTP i TLS, analizę technik socjotechnicznych, analizę błędów i nieścisłości, a także tzw. biały wywiad, analizę wielu różnych przykładów phishingu, szkolenie z pisania raportów, a także holistyczne spojrzenie na bezpieczeństwo z perspektywy phishingu.
Szkolenie odbywa się w wydzielonym logicznie i sieciowo laboratorium, z wykorzystaniem dedykowanych formularzy HTTP i HTTPS, które symulują wyciek poświadczeń za pośrednictwem tych formularzy webowych.
Szkolenie z analizy złośliwego oprogramowania (z opcjonalnymi warsztatami typu Cyberwojna, tj. Blue vs. Red Team, lub bez nich):
Szkolenie obejmuje ręczną i dynamiczną analizę złośliwego oprogramowania na przykładzie prostych aplikacji oraz zagrożeń typu Stealer (złodziej danych) oraz Keylogger (rejestrator klawiszy). Wprowadza uczestników do narzędzi stosowanych w analizie statycznej i dynamicznej malware, podstaw kryminalistyki sieciowej i cyfrowej związanej z złośliwym oprogramowaniem, a także do białego wywiadu oraz analizę wielu zróżnicowanych przykładów. Dodatkowo uczestnicy nauczą się pisania raportów, holistycznego spojrzenia na bezpieczeństwo w kontekście złośliwego oprogramowania oraz podstaw inżynierii wstecznej.
Szkolenie odbywa się w wydzielonym logicznie i sieciowo laboratorium, z wykorzystaniem autorskiego złośliwego oprogramowania typu Stealer i Keylogger oraz publicznie dostępnego złośliwego oprogramowania typu Stealer, reprezentującego jeden z aktualnie aktywnych wariantów wykorzystywanych przez cyberprzestępców.
Szkolenie może również obejmować, w całości lub częściowo (np. dla członków zespołów SOC), warsztaty typu Cyberwojna, tj. Blue vs. Red Team, umożliwiające praktyczne ćwiczenie obrony przed złośliwym oprogramowaniem. Warsztaty te zapewniają cenny feedback, który pozwala uczestnikom podnosić swoje praktyczne umiejętności w zakresie cyberobrony.
Szkolenie z zabezpieczania materiału dowodowego (Łańcuch dowodowy):
Szkolenie prowadzi specjalista posiadający certyfikat ISO/IEC 27037:2012 – Lead Implementer (wydany przez Pacific Certifications oraz ABIS), uprawniający do wdrażania i zarządzania procesami identyfikacji, zabezpieczania, pozyskiwania oraz przechowywania dowodów cyfrowych, zgodnie z międzynarodowymi standardami postępowania w informatyce śledczej.
Szkolenie wprowadza uczestników w zagadnienia związane z łańcuchem dowodowym, jego znaczeniem i wymogami formalnymi. Zawiera wprowadzenie do procedury, omawia najlepsze praktyki oraz narzędzia stosowane przy zabezpieczaniu materiału dowodowego.
Więcej informacji:
Łańcuch dowodowy (Chain of Custody – CoC) to dokument pozwalający na śledzenie kolejnych etapów przemieszczania się i obsługi potencjalnych dowodów cyfrowych. Jego prowadzenie należy rozpocząć już w momencie pozyskania lub zabezpieczenia dowodów. Proces ten opiera się na dokładnym odnotowywaniu historii danego przedmiotu, począwszy od jego identyfikacji i przejęcia przez zespół dochodzeniowy, aż po jego aktualne miejsce przechowywania oraz stan.
Dokumentacja łańcucha dowodowego może mieć formę jednego dokumentu lub zestawu uzupełniających się zapisów. Opisuje ona szczegółowo procedury związane z obsługą dowodów cyfrowych i wskazuje osoby odpowiedzialne za ich przechowywanie oraz przetwarzanie. Dotyczy to zarówno danych cyfrowych, jak i materiałów w innych formatach, takich jak notatki papierowe.
Celem takiej dokumentacji jest zapewnienie pełnej przejrzystości dostępu do dowodów oraz ich przemieszczania na każdym etapie postępowania. W praktyce łańcuch dowodowy może obejmować różne rodzaje zapisów, np. rejestr pozyskania danych cyfrowych na określonym urządzeniu, ewidencję transportu tego urządzenia czy dokumentację dotyczącą tworzenia kopii danych lub ich wyodrębnienia do analizy.
Kluczowe korzyści wprowadzenia łańcucha dowodowego obejmują:
- Zapewnienie integralności dowodów: Materiał dowodowy pozostaje nienaruszony, co pozwala na jego akceptację (ang. admissible) w procesach sądowych.
- Zachowanie wiarygodności w procesach prawnych: Staranna dokumentacja i zabezpieczenie dowodów wzmacniają ich wartość w postępowaniach sądowych i audytach.
- Ograniczenie ryzyka zarzutów manipulacji dowodami: Transparentność w zarządzaniu dowodami eliminuje wątpliwości co do ich autentyczności.
- Dostosowanie się do akceptowanych wzorców międzynarodowych: Wdrożenie procedur zgodnych z międzynarodowymi standardami, takimi jak ISO/IEC 27037, zapewnia, że działania śledcze są obiektywnie akceptowane i honorowane przez organy prawne i inne zainteresowane strony.
- Zapewnienie spójności działań śledczych: Standaryzacja procesów usprawnia współpracę zarówno wewnętrzną, jak i z organami zewnętrznymi.
- Budowanie zaufania do organizacji: Profesjonalizm w postępowaniach śledczych zwiększa wiarygodność organizacji w oczach klientów, partnerów biznesowych i organów nadzoru.
- Wsparcie procesów decyzyjnych: Łańcuch dowodowy wspiera zaangażowanie kluczowych osób w organizacji, takich jak CISO (Chief Information Security Officer – najwyższy rangą Specjalista ds. Cyberbezpieczeństwa w organizacji) oraz wykwalifikowanych i certyfikowanych specjalistów w zakresie kryminalistyki cyfrowej i sieciowej. Dzięki temu decyzje są podejmowane na podstawie wiarygodnych danych i przez osoby posiadające odpowiednie kompetencje.
Podsumowując, wprowadzenie łańcucha dowodowego jest nieodzowne dla prawidłowego prowadzenia analiz śledczych i zarządzania dowodami cyfrowymi. Chroni organizację przed ryzykiem prawnym i regulacyjnym, zwiększa efektywność działań, a także wspiera budowanie zaufania i przejrzystości w działaniach związanych z bezpieczeństwem.
Szkolenie z analizy śledczej (cyfrowej i sieciowej):
Szkolenie obejmuje wszystkie kluczowe obszary analizy śledczej, takie jak: kryminalistyka cyfrowa w systemie operacyjnym Windows przeprowadzana na dysku twardym stacji roboczej, analiza ruchu sieciowego generowanego przez stację roboczą wraz z jego korelacją z procesami systemowymi, analiza pamięci ulotnej (RAM), wykorzystanie niezbędnych narzędzi do analizy artefaktów systemowych oraz przygotowanie szczegółowego raportu z przeprowadzonej analizy śledczej.
Celem analizy śledczej jest zidentyfikowanie śladów różnych wektorów ataku, takich jak złośliwe oprogramowanie, phishing, eksfiltracja danych, manipulacja systemem czy eskalacja uprawnień. Analiza złośliwego oprogramowania pozwala odtworzyć przebieg kompromitacji, zrozumieć mechanizmy persystencji, eksfiltracji danych oraz ukrywania aktywności, a także ocenić wpływ na system. W przypadku phishingu celem jest zidentyfikowanie metod wyłudzania poufnych informacji, takich jak dane logowania czy finansowe, oraz sposobów ich przesyłania, np. przez protokoły HTTP lub TLS. Każdy z tych obszarów jest analizowany niezależnie, co pozwala na precyzyjne zrozumienie charakteru incydentu, skuteczne reagowanie na zagrożenia i ochronę infrastruktury przed przyszłymi atakami.
Więcej informacji:
Złośliwe oprogramowanie (malware) pozostawia w systemie operacyjnym wiele śladów, które są kluczowe dla kryminalistyki cyfrowej. Analiza tych artefaktów pozwala odtworzyć przebieg kompromitacji stacji roboczej, zidentyfikować techniki działania malware oraz ocenić jego wpływ na system.
W środowisku Windows istotnymi źródłami informacji są dzienniki zdarzeń systemowych, które mogą zawierać wpisy dotyczące nieautoryzowanego logowania, eskalacji uprawnień czy instalacji nowych usług. Ważne są również logi z aplikacji, które mogą ujawnić nietypową aktywność, taką jak nieautoryzowane sesje zdalne, pobieranie złośliwych plików lub manipulacje danymi.
Analiza rejestru systemowego umożliwia wykrycie śladów persystencji, takich jak wpisy inicjujące automatyczne uruchamianie programów, zaplanowane zadania lub nietypowe zmiany w ustawieniach polityk systemowych.
Z kolei artefakty systemowe oraz dane w strukturach systemu plików umożliwiają zrekonstruowanie aktywności, takich jak tworzenie, modyfikacja, usuwanie czy przenoszenie plików, a także historię uruchamiania aplikacji. Analiza tych informacji pozwala na odtworzenie działań w systemie plików, co jest kluczowe w identyfikacji operacji złośliwego oprogramowania oraz określeniu ich wpływu na kompromitowany system.
Malware często korzysta z mechanizmów komunikacji międzyprocesowej (IPC), takich jak named pipes, pamięć współdzielona czy mechanizmy COM (Component Object Model), które mogą być używane do przekazywania danych między komponentami malware lub do przejmowania kontroli nad legalnymi procesami. Analiza tych śladów pozwala wykryć nadużycia w kontekście interakcji między procesami.
Ważnym aspektem jest analiza dynamiczna, np. pamięci operacyjnej, która ujawnia obecność złośliwych bibliotek DLL (ang. Dynamic-Link Library – biblioteka łączona dynamicznie / biblioteka współdzielona), iniekcji kodu czy procesów działających tylko w pamięci (ang. in-memory). Malware może również stosować zaawansowane techniki ukrywania, takie jak rootkity (manipulacja strukturami systemowymi), hijacking bibliotek DLL, korzystanie z rozproszonych komponentów w różnych procesach, czy polimorfizm (proces, w którym złośliwe oprogramowanie zmienia swój podstawowy kod, aby uniknąć wykrycia) i packery zmieniające charakterystykę plików.
Szeroko zakrojona analiza kryminalistyczna pozwala na pełne odtworzenie przebiegu zdarzeń związanych z kompromitacją stacji roboczej, identyfikację złośliwych działań, a także zrozumienie technik maskowania używanych przez malware, co ma kluczowe znaczenie dla reagowania na incydenty i ochrony infrastruktury.
Atakujący metodą phishing często dążą do zdobycia poufnych informacji, takich jak nazwy użytkownika, hasła, numery kart kredytowych czy inne dane osobiste. Do przesyłania tych danych potrzebują mechanizmu sieciowego, wykorzystując Internet jako medium.
Najczęściej dane te wyciekają za pośrednictwem protokołów HTTP lub TLS. W szczególności atakujący korzystają z metody żądań POST w protokole HTTP oraz operacji Application Data w protokole TLS, która wskazuje na ustanowiony tunel pomiędzy dwiema stronami. Są to najczęściej wykorzystywane mechanizmy eksfiltracji danych w atakach phishingowych.