Menu

Analiza powłamaniowa i analiza ruchu sieciowego – Computer Forensics

07-10-2019 11-10-2019 Warszawa
Cena netto: 4500
CENA PROMOCYJNA : 3500
18-11-2019 22-11-2019 Warszawa
Cena netto: 4500
CENA PROMOCYJNA : 3500

Kategoria: ,

Zasady promocji »

Czas trwania: 5 dni

Adresaci szkolenia

Ten kurs jest przeznaczony dla specjalistów zajmujących się informatyką śledczą oraz osób, chcących uzupełnić swoją wiedzę z bezpieczeństwa systemów informatycznych.

Krótki opis

Szkolenie jest od podstaw, jednakże wymaga od uczestników ogólnej wiedzy z etycznego hackingu/sposobu dokonywania włamań do systemów informatycznych.

Szkolenie jest warsztatowe, oparte o ćwiczenia, analizę przypadków, pracę w dynamicznym środowisku.

Program szkolenia, opisany poniżej, podlega modyfikacjom w trakcie szkolenia. Trener po określeniu poziomu grupy dobiera odpowiednie zestawy ćwiczeń, tak aby szkolenie było jak najbardziej efektywne.

Wykładowca

Obecnie pracuje jako Senior Security Officer w jednym z banków. Zajmuje się głównie prowadzeniem kluczowych projektów dla banku od strony bezpieczeństwa, wykonuje testy penetracyjne, wyznacza rekomendacje, a także szacuje i analizuje bezpieczeństwo oraz ryzyko aplikacji i systemów. Przed obecną pracą zajmował się bezpieczeństwem w firmach informatycznych oraz w firmie z branży konsultingowej. Był odpowiedzialny zarówno za ofensywne jak i defensywne aspekty bezpieczeństwa. Absolwent Matematyki Stosowanej i Komputerowej na Uniwersytecie Jagiellońskim w Krakowie z pracą magisterską dotyczącą ataków na Generator Liczb Pseudolosowych. Wielokrotny uczestnik zawodów hackerskich Capture the Flag. W wolnych chwilach stara się rozwijać swojego bloga poświęconego, szeroko rozumianemu, hackingowi. Częsty prelegent na konferencjach poświęconych bezpieczeństwu IT oraz bezpieczeństwu w bankowości. Posiada certyfikaty min. CISM, CISA, E|CSS.

Program oraz omówienie ćwiczeń i metodyki ich prowadzenia

Wstęp teoretyczny w formie prezentacji:
• Aspekty prawne,
• Model OSI/ISO i TCP/IP,
• Omówienie działania aplikacji webowych i ich architektury,
• Budowa systemu operacyjnego
• Podstawowe terminy analizy powłamaniowe
• Metody prowadzenia analizy powłamaniowej krok po kroku,
• Dobre praktyki
• Przykłady z życia wzięte dot. włamań i reakcji na nie

Wprowadzenie do działania protokołów sieciowych w formie warsztatów (analiza plików pcap nagranego ruchu na WireShark i tcpdump):
• Preamble: wprowadzenie do narzędzia Wireshark i 
• Basic: TCP, UDP, FTP, http, HTTPS, SMB,
• Średniozaawansowane: USB raw, USB with Linux encryption, IPSec.
• Zaawansowane: Wirusy – slammer, dns remote shell. Crack Traces – teardrop, etc.

Analiza logów systemowych i logów serwera aplikacyjnego Apache/Nginx z wykorzystanie narzędzia GoAccess, do wyciągnięcia statystyk oraz detalicznych danych.

Ataki na infrastrukturę sieciową i aplikacje webowe:
• Wstęp teoretyczny do anatomii ataku – krok po kroku w formie prezentacji
• Omówienie teoretyczne podstawowych ataków na aplikacje webowe i systemy operacyjne.

Ćwiczenia praktyczne, polegające na naśladowaniu trenera (odtworzenie praktyczne anatomii ataków):
• Wprowadzenie do Kali Linux
• Skanowanie celu skanerem sieciowym nmap
• Banner grabbing netcat
• Skanowanie skanerem podatności OWASP ZAP, OpenVAS
• Ręczna identyfikacja usług i ich wersji wraz z wersją systemu operacyjnego
• Wprowadzenie do metasploita oraz uruchamianie podstawowych exploitów, eskalacja uprawnień na maszynie.
• Szukanie exploitów w exploit-db oraz customizowanie ich pod konkretny przykład.

Wprowadzenie teoretyczne do ataków na aplikacje webowe:
• Ćwiczenia praktyczne, polegające na naśladowaniu trenera
• Wykonywanie ataku typu SQL Injection
• Wykonywanie ataku typu Cross Site Scripting (XSS)
• Wykonywanie ataku typu Cross Site Request Forgery (CSRF)
• Wykonywanie ataku typu Remote Code Execution
• Wykonywanie ataku typu File Inclusion
• Wykonywanie ataku typu Malicious File Upload
• Wykonywanie ataku typu Brute Force

Uczestnicy będą mieli za zadanie, dowolną metodą, włamać się do dedykowanego im systemu/aplikacji.
Tutaj również przewidziany jest podział na podgrupy, ale każdy działa w jej obrębie indywidualnie.

Podsumowanie analizy ruchu sieciowego:
Trener przedstawi kilka plików pcap z danymi atakami, będzie objaśniał sekwencję zdarzeń, metodę którą wykorzystywał atakujący oraz metody przeciwdziałania.

Zestaw A
Ćwiczenie 1. (basic)
Plik pcap z nagranym ruchem sieciowym skanowania nmap, weryfikacją usług, atakiem gotowym exploitem z metasploita.

Ćwiczenie 2. (średniozaawansowane)
Plik pcap z nagranym ruchem sieciowym namierzania usług przez narzędzie netcat, banner grabbingiem, atakiem typu SQL Injection

Ćwiczenie 3. (zaawansowne)
Plik pcap z nagranym ruchem sieciowym, bez skanowania, atak Cross Site Request Forgery.

Ćwiczenie 4. (master)
Plik pcap z szyfrowanym ruchem sieciowym malware’u.

Zestaw B
Ćwiczenie 1. (basic)
Plik pcap z ruchem sieciowym skanowania nmap, próby ataku typu DoS oraz próby ataku Brute Force (obie nieudane).

Ćwiczenie 2. (średniozaawansowane)
Plik pcap z ruchem sieciowym ataku Remote Code Execution.

Ćwiczenie 3. (zaawansowane)
Plik pcap z ruchem sieciowym ataku Malicious Code Execution.

Ćwiczenie 4. (master)
Plik pcap z ruchem sieciowym ataku XML External Entity i/lub Buffer Overflow lub Advanced Malicious File Upload.

Omówienie realizacji zadań/ćwiczeń
Zadania dla uczestników w podgrupach kilkuosobowych na zasadzie burzy mózgów. Każda grupa dostaje odrębne zadanie zależne od stopnia jej zaawansowania (będzie niejawny podział uczestników na grupy – basic, średniozaawansowną i zaawansowana), każda z grup dostanie plik pcap z nagranym ruchem sieciowych z ataków na system i/lub aplikację, czy infekcję wirusem. Dana grupa musi rozczytać z pliku jaki był wektor ataku, co atakującemu udało się osiągnąć, jaki skutek odnieść oraz zaproponować w jaki sposób przeciwdziałać takiemu atakowi. Każda z grup wytypuje lidera, który będzie prezentował rozwiązanie na rzutniku dla innych grup, wyjaśniając wszystkie ustalenia, Trener i pozostałe grupy mogą zadawać pytania lub poddawać wątpliwość rozwiązaniu. Prezentująca grupa ma za zadanie także obronić swoje rozwiązanie.

Malware
Tworzenie malware i próby detekcji
• Tworzenie własnego malware/konia trojańskiego
• Tworzenie metasploitem malware’u i skanowanie w VirusTotal celem weryfikacji wykrywalności.
• Ulepszanie encoderami napisanych malware i weryfikacja na VirusTotal.
• Tworzenie malware poprzez narzędzie Shelter, wrzucając malware do legalnego pliku.
• Przedstawienie kilku próbek napisanych wirusów/makr w excelu i wordzie przez trenera. Weryfikacja skuteczności, omówienie działania.
• Metody bezpiecznego uruchamiania malware.
• Detekcja malware.

Metody ukrywania informacji w plikach/steganografia
Ćwiczenia praktyczne
• Ukrywanie plików w Slack Space z wykorzystaniem bmp
• Ukrycie wiadomości w zdjęciu z wykorzystaniem QuickStego

Wyczyszczanie haseł w Windows bez logowania się do systemu.
Metody czyszczenia haseł bez uprawnień Administratora.

Analiza kluczy rejestrów i plików Windows.
Odzyskiwanie i analiza danych

Ćwiczenia praktyczne prowadzone przez trenera:
• Przegląd narzędzi do odzyskiwania plików oraz narzędzi do analizy nośników
• Zapoznanie z narzędziem Autopsy
• Odzyskiwanie usuniętych danych z nagranego obrazu systemu.
• Analiza systemu plików i rejestrów
• Analiza sekwencji zdarzeń na osi czasu

Ćwiczenie praktyczne do samodzielnego rozwiązania, ew. z pomocą trenera.
Podsumowanie panelu to znów podział na podgrupy i w zależności od stopnia zaawansowania, dobierane będzie zadanie na analizę plików, odzyskanie usuniętych danych, zapewnienie integralności materiału dowodowego (obrazu plików), omówienie i zreferowania ustaleń.

Informacje organizacyjne

Cena obejmuje: uczestnictwo w zajęciach, długopis, notatnik, przygotowane środowisko – laby, przerwy kawowe, lunch, certyfikat ukończenia szkolenia

Miejsce zajęć: Warszawa, al. Jana Pawła II 25 – siedziba CTS

07-10-2019 11-10-2019 Warszawa
Cena netto: 4500
CENA PROMOCYJNA : 3500
18-11-2019 22-11-2019 Warszawa
Cena netto: 4500
CENA PROMOCYJNA : 3500