קהל היעד

הסדנה מיועדת לחוקרי אבטחה, בודקי חדירות, מפתחים בעולמות הסייבר, חוקרים פורנזיים, וצוותי Incident Response המעוניינים להרחיב את הידע בתחום.

דרישות קדם

היכרות עם מערכות הפעלה

ידע בסיסי ב-Windows Internals

רקע בלוחמת סייבר – יתרון

ניסיון בשפת C ו-Assembly – יתרון

משך הסדנה

80

מתעניינים? צרו קשר

תיאור ומטרת הקורס

Reverse engineering (“הנדוס לאחור” – בעברית) הוא תהליך בעזרתו מנסים חוקרי אבטחה כמו גם האקרים להבין כיצד פועלות וכתובות תוכנות, מבלי לקבל גישה לקוד המקור או למסמכי האפיון של התוכנה. בסדנה ילמדו הסטודנטים כיצד ניתן לנתח תוכנות וקבצי הרצה (binaries) בסביבת windows ולהבין את פעולותיהן, יחסי הגומלין עם מערכת ההפעלה, משאבי העיבוד, האחסון והתקשורת ועוד. בגישה שיטתית, תוך שימת דגש על דוגמאות מציאותיות, הסטודנט ידע לאפיין ולהסביר את מה שעד לא מזמן נחשב נחלתו הבלעדית של מפתח התוכנה.
יכולת זו שבעבר היתה שמורה לצוותי מחקר בחברות אבטחה, מתגלה ככלי שימושי ביותר עבור חוקרי אבטחה, חוקרים פורנזיים, צוותי incident response ובודקי חדירות.

מטרת הסדנה היא להקנות לסטודנטים את היכולת לקחת כל תוכנה (executable), בין אם סומנה כחשודה ע”י מוצר אבטחה אך בעיקר אם לא סומנה שכזו, ולעמוד על טיבה ברמת אבחנה ופירוט ששקולים לקריאת קוד המקור.

אודות CYBERPRO

CYBERPRO הוקמה בשיתוף פעולה עם גורמי אבטחת מידע והדרכה בינלאומיים אשר מביאים לישראל את טכנולוגיות הכשרת הסייבר מהמובילות בעולם ואת חוויית הלימוד בסטנדרט הגבוה ביותר הקיים כיום.

בין השותפים נמצאת גם קבוצת IITC אשר מכשירה בוגרים לתעשיית ההייטק כבר למעלה מ 20 שנה ונבחרה להיות מרכז הדרכה של חברת Cisco בישראל.

ההכשרות המתקדמות והמבוקשות של CYBERPRO בתחומי תשתיות, אבטחת מידע וסייבר הינן שם דבר בעולם. הכשרות אלו פותחו על ידי מומחי סייבר מהשורה הראשונה בעולם, עבור גופיי אבטחה בינלאומיים השמים דגש רב על יכולות ההדרכה הגבוהות, שיטות הלמידה המקצועיות וטכנולוגיות האימון והתרגול הייחודיות. החיבור עם גופים בינלאומיים מאפשרים לסטודנטים הלומדים אצלנו להחשף להזדמנויות תעסוקה ייחודיות בארץ ובעולם.

מסלולי ההכשרה והלימוד מבוססים כולם על תרגול מעשי רב, הכנה לדרישות התעשיה והמקצוע ולכן משלבים מעבדות טכנולוגיות ותרגול באמצעות סימולטור מהמתקדמים בעולם.

תכנים מקצועיים שילמדו

Digital forensics in rapid-changing space

  • Post-mortem (forensics) vs. real time (incident response)
  • What is host forensics?
  • The order of volatility and evidence types
  • The methodology of running an investigation
  • Open source: Yes we can!
  • Building your own examination platform

Disk and filesystem analysis

  • Media analysis concepts
  • The Sleuth Toolkit
  • Partitioning and disk layouts
  • Special containers
  • Hashing
  • File carving
  • Forensic RAW Imaging with dd
  • Converting virtual storage to RAW images

Generating filesystem timelines

  • Filesystem MACB timestamps
  • Generating body files from images and mounted media
  • Timeline generation and analysis with fls and autopsy
  • Indexing modifications, access, and creation with Linux shell
  • Timeline generation and analysis

Linux filesystem artifacts

  • Linux file systems (ext2, ext3)
  • Linux boot process and services
  • Linux system organization and artifacts
  • User accounts
  • Home directories
  • Bash history
  • System logs
  • Cron jobs

Server- and service-related artifacts

  • Linux syslog (Debian) and /var/log/messages (red-hat)
  • Linux auth.log (Debian) and /var/log/secure (red-hat)
  • Parsing bash history and adding timestamps to bash history
  • Other logs: /var/log/boot.log, /var/log/dmesg, /var/log/kern.log
  • Cron logs
  • Package managers log (apt, yum etc.)
  • Web server logs: Parsing and configuring apache/nginx logs
  • Database logs (example: mysqld.log and mysql.log)
  • Bonus: Customizing iptables to log every connection

Super timeline all the things

  • Super timelines: What and why
  • Getting started with Plaso
  • Creating timelines
  • Using collection filters
  • Event filters
  • Analysis plugins
  • Analyzing Plaso output with Elasticsearch and Kibana

Linux memory forensics

  • Linux memory acquisition
  • Generating Linux profiles for volatility
  • Processes and process memory
  • Networking artifacts
  • Kernel memory artifacts
  • Filesystem in memory
  • Userland rootkits
  • Kernel-mode rootkits
  • Parsing “free-memory” with volatility strings

The Linux forensic challenge (1 Day)

  • Linux Web server Breach CTF
  • Multi-step “targeted” attack
  • Challenge walkthrough and investigative conclusions
  • Workshop summary