Компьютерная криминалистика: расследование компьютерных преступлений

Содержание курса

Модуль 1. Тенденции совершения киберпреступлений (6 ак.ч.)

Лекция 1. Типовые модели поведения киберпреступников 

• фреймворки Cyber KillChain, MITRE ATT&CK, Pyramid Of Pain, Diamond
• виды киберпреступных акторов
• концепции Threat Intelligence
• обзор актуальных видов киберугроз

Лекция 2. Факторы, повышающие уязвимость компании для действий киберпреступников (в разрезе отраслей) 

• типовые методы первоначального доступа, используемые группировками (с примерами кейсов)
• типовые ошибки и уязвимости конфигурации
• угрозы социальной инженерии
• угрозы связанные с osint и утечками
• системы класса Attack Surface Managment

Модуль 2. Основные мероприятия расследования компьютерных преступлений и инцидентов информационной безопасности (18 ак.ч.)

Лекция 1. Возбуждение и виды уголовных дел по преступлениям в сфере высоких технологий

• Методические рекомендации по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации
• Видовая классификация СКТЭ. Этапы СКТЭ. Методы СКТЭ. Эксперт 

Лекция 2. Практические вопросы расследования: от привлечения специалиста до назначения компьютерной экспертизы

• История форензики. Виды форензики
• Жизненный цикл реагирования на инциденты
• Отличия реагирования на инциденты от форензики

Лекция 1. Использование моделей угроз для понимания тактик, техник и процедур атакующих на примере CKC и MITRE ATT&CK

• MITRE Navigator
• Формирование ландшафта тактик и техник (на примере группировок Twelve/Shadow, Blackjack)

Лекция 2. Алгоритмы и стандарты реагирования на инцидент: идентификация, локализация, формирование индикаторов, поиск новых зараженных узлов

• Алгоритмы и стандарты реагирования на инцидент: идентификация, локализация, формирование индикаторов
• YARA-правила. SIGMA-правила

Модуль 4. Работа с цифровыми следами (на базе ОС Windows) (24 ак.ч.)

Лекция 1. Работа с цифровыми следами в электронной почте

• Артефакты работы с email и инструменты их исследования
• Локации хранения pst файлов
• Инструменты исследования pst-файлов
• Фишинг и его артефакты

Лекция 2. Сниферы в практике реагирования на инциденты и анализе угроз

• Методы анализа сетевого траффика
• Инструменты и методы анализа дампов сетевого траффика
• Системы класса NTA

Лекция 3. Анализ документов офисных пакетов

• Артефакты скачивания файлов из сети и их анализ
• Методы анализа файлов офисных пакетов

Лекция 4. Динамический анализ выполнения вредоносного программного обеспечения

• Методы работы с онлайн-песочницами
• Формирование  YARA-правил

Лекция 5. Применение методов OSINT в практике расследования компьютерных преступлений и реагирования на инциденты

• Методы киберразведки и исследования угроз
• Исследование инфраструктуры злоумышленников

Лекция 6. Подготовка заключения по итогам расследования

• Документирование расследования и составление отчётов: лучшие практики
• Фреймворки для коллаборации и унификации отчетности при расследовании инцидентов
• Пример отчета

Практические работы:

Расследование компьютерных инцидентов:

1. Сбор энергонезависимой информации в ОС Windows / Linux
2. Поиск следов первоначального доступа в ОС Windows / Linux
3. Поиск следов запуска вредоносного программного обеспечения в ОС Windows / Linux
4. Поиск следов закрепления в ОС Windows / Linux
5. Поиск следов горизонтального продвижения в сети
6. Исследование сетевого трафика
7. Анализ данных оперативной памяти в ОС Windows
8. Анализ вредоносных файлов
9. Методы киберразведки и исследования угроз
10. Анализ артефактов в службе каталогов Active Directory
11. Практические кейсы:

Вирус-шифровальщик

Вирус-майнер

Утечка конфиденциальной информации