Advanced Windows Enterprise Incident Response

In diesem fünftägigen Kurs werden fortgeschrittene Untersuchungstechniken für Incident-Response-Experten vermittelt, mit denen sie Angriffe von staatlichen, finanziellen und politischen Hackergruppen identifizieren und abschätzen können. Der Kurs umfasst eine Reihe von praktischen Übungen, mit denen die Schüler die Grundlagen ihres Erlernten erkunden und vertiefen können, indem sie Techniken direkt auf reale Szenarien anwenden.

Die Schüler lernen, wie sie fortgeschrittene Techniken identifizieren, erkennen und jagen, die Verschleierung von Malware bekämpfen und Bedrohungssuche sowohl auf herkömmlichen Endpunkten als auch in der cloudbasierten Infrastruktur anwenden. In diesem Kurs werden historische und Live-Angriffsszenarien und -techniken behandelt, die Sicherheitsteams während eines aktiven Vorfalls einsetzen können, um potenzielle Verluste für das Unternehmen zu mindern.

Voraussetzungen: Die Lernenden sollten über hervorragende Kenntnisse der Grundlagen von Computern und Betriebssystemen verfügen. Es werden die Grundlagen der Computerprogrammierung und Erfahrung mit Windows-Interna dringend empfohlen. Außerdem empfiehlt es sich, den Mandiant-Kurs „Windows Enterprise Incident Response“ und/oder „Linux Enterprise Incident Response“ zu absolvieren.

• Anhand des ATT&CK-Frameworks strategische Sicherheitsentscheidungen in Ihrem Unternehmen treffen
• Die Schritte der Reaktion auf Vorfälle zusammenfassen
• Festlegen, wie Informationen zum Vorfall effektiv an die Führungsebene und andere kommuniziert werden können
• Verständnis der erweiterten Techniken der Bedrohungsakteure demonstrieren
• Über unkonventionelle Techniken zur Implementierung von Implantaten sprechen, die wir bei fortgeschrittenen APT-Bedrohungsakteuren kennen, die aber selten von weniger versierten Gruppen genutzt werden
• Erkennen, wenn die Verschleierung verwendet wird
• Zusammenfassen, was YARA ist und wie eine YARA-Regel entwickelt wird
• Das Layout gängiger Speicherstrukturen und gängiger Methoden für Memory-Angriffe kennenlernen
• Die Vor- und Nachteile der verschiedenen Analysetools erklären
• Geben Sie einen Überblick über die verfügbaren Informationsquellen, das Sammeln von Beweisen, häufige Untersuchungsszenarien und die verfügbaren Tools für die Datenanalyse und -untersuchung.
• Betonen Sie das unterschiedliche Tempo beim Umgang mit Live-Angreifern und die Auswirkungen auf die Organisation und die Koordination des IR-Teams.

In diesem schnellen technischen Kurs werden praktische Erfahrungen zur Untersuchung gezielter Angriffe und der Analyseschritte zum Erkennen gehackter Systeme vermittelt. Die Inhalte und das Tempo sind für Schüler und Studenten gedacht, die etwas Erfahrung in den Bereichen Sicherheitsabläufe, Reaktionen auf Vorfälle, forensische Analysen, Analyse des Netzwerkverkehrs, Protokollanalyse, Sicherheitsbewertungen und Pentests oder sogar in den Bereichen Sicherheitsarchitektur und Systemverwaltung haben. Er eignet sich auch gut für Personen, die CIRT-/Incident-Response-Teams verwalten, oder für Rollen, die die Aufsicht über forensische Analysen und andere Untersuchungsaufgaben erfordern.

Präsenzkurs mit Kursleiter

5 Tage (Präsenzkurs)

Einen Computer mit Internetverbindung und einen modernen Browser (z. B. Google Chrome).

MITRE ATT&CK 

• MITRE ATT&CK-Framework 
• ATT&CK-Navigator 

Incident-Response-Prozess 

• Definition von Incident Response 
• Einführung in den NIST Incident-Response-Prozess 
• Vorbereitung 
• Erkennung und Analyse 
• Eindämmung, Beseitigung und Wiederherstellung 
• Aktivitäten nach einem Vorfall 

Kommunikation und erweiterte Sicherheitsvorfälle 

• Vorbereitung 
• Während des Vorfalls 
• Aktivität nach einem Vorfall 
• Tipps und Tricks 

Fortgeschrittene Techniken 

• DLL-Hijacking 
• Anwendungs-Shimming 
• COM-Hijacking 
• Manipulation des Erweiterungs-Handlers 
• Windows Management Instrumentation (WMI) 
• Manipulation des Windows-Ereignisprotokolls 

Erweiterte Implantate 

• IIS-Module (Internet Information Services) 
• Exchange-Transport-Agents 
• Tools für den Remotezugriff 

Verschleierung 

• Einführung in die Verschleierung 
• Skriptbasierte Verschleierung 
• Codierungsverschleierung 
• Verschleierung verhindern 
• Frühe Erkennung 

Jagen mit YARA 

• YARA-Übersicht 
• YARA ausführen 
• YARA-Syntax 
• YARA-Syntaxbedingungen 
• Eine Regel erstellen 
• Module und zusätzliche Konzepte 
• Hinweise 

Arbeitsspeicheranalyse 

• Warum Arbeitsspeicher? 
• Arbeitsspeicher erwerben 
• Einführung in Speicherstrukturen 
• Arbeitsspeicher angreifen 
• Arbeitsspeicher mit Volatilität analysieren 

Skalierbarkeit und Stacking 

• Hintergrund 
• Was ist Stacking? 
• Stacking, um Evil zu finden 

Einführung in Cloud IR 

• Einführung in Cloud-Computing 
• AWS 
• Azure 
• Google Cloud 
• Cloud IR-Methodik 

Live-Angreifer 

• Untersuchungstempo 
• Eindämmung, Beseitigung und Fortbestand 
• Anmeldedaten
• Aktive Verteidigung