קהל היעד

הסדנה מיועדת לאנליסטים, חוקרי אבטחה, חוקרים פורנזיים, מומחי IT, וצוותי Incident Response המעוניינים לרכוש ידע מעשי בתחום.

דרישות קדם

היכרות טובה עם מערכות הפעלה מבוססות Linux

היכרות עם טכניקות לוחמת סייבר

היכרות עם פרוטוקולי תקשורת TCP/IP – יתרון

היכרות עם לינוקס ו-bash – יתרון

משך הסדנה

40/80 שעות

תיאור ומטרת הקורס

מערכות הפעלה מבוססות לינוקס מותקנות על גבי 96.5% מהשרתים של מיליון האתרים הפופולריים באינטרנט (לפי דירוג Alexa), וע”ג 92% מהמכונות בענן של אמזון. אם יש בארגון שלך שרתים ושירותים החשופים לאינטרנט ו/או רצים ע”ג תשתיות ענן – רוב הסיכויים שהם מריצים לינוקס. כאשר שרתי הארגון יהיו מעורבים באירוע סייבר, היכולת של צוותי התגובה (Incident Response) וצוותי החקירה להבין את מהות האירוע, את היקף ההדבקה ומידת הנזק, תלויה במידה רבה ביכולתם להפיק מידע והקשרים משמעותיים מסביבת הלינוקס.

בסדנה ילמדו הסטודנטים כיצד להרכיב תמונה מדויקת, סדורה ומפורטת של ההתרחשויות והפעולות במערכת ההפעלה מתוך מגוון מקורות; הדיסק הקשיח וטבלאות קבצים דוגמת ext2/ext3/ext4, קבצים ופקודות שהורצו במערכת, תהליכים (processes), משתמשים, גישה לרשת, חתימות זמן ואירועים בקבצי log של מערכת ההפעלה ושירותים אפליקטיביים, וגולת הכותרת – רמת הפירוט המדהימה של המידע שניתן להפיק מדגימות זיכרון (memory dumps) של מערכת ההפעלה, בהן כל המידע מופיע כטקסט קריא (clear-text).

אודות CYBERPRO

CYBERPRO הוקמה בשיתוף פעולה עם גורמי אבטחת מידע והדרכה בינלאומיים אשר מביאים לישראל את טכנולוגיות הכשרת הסייבר מהמובילות בעולם ואת חוויית הלימוד בסטנדרט הגבוה ביותר הקיים כיום.

בין השותפים נמצאת גם קבוצת IITC אשר מכשירה בוגרים לתעשיית ההייטק כבר למעלה מ 20 שנה ונבחרה להיות מרכז הדרכה של חברת Cisco בישראל.

ההכשרות המתקדמות והמבוקשות של CYBERPRO בתחומי תשתיות, אבטחת מידע וסייבר הינן שם דבר בעולם. הכשרות אלו פותחו על ידי מומחי סייבר מהשורה הראשונה בעולם, עבור גופיי אבטחה בינלאומיים השמים דגש רב על יכולות ההדרכה הגבוהות, שיטות הלמידה המקצועיות וטכנולוגיות האימון והתרגול הייחודיות. החיבור עם גופים בינלאומיים מאפשרים לסטודנטים הלומדים אצלנו להחשף להזדמנויות תעסוקה ייחודיות בארץ ובעולם.

מסלולי ההכשרה והלימוד מבוססים כולם על תרגול מעשי רב, הכנה לדרישות התעשיה והמקצוע ולכן משלבים מעבדות טכנולוגיות ותרגול באמצעות סימולטור מהמתקדמים בעולם.

תכנים מקצועיים שילמדו

Digital forensics in rapid-changing space

  • Post-mortem (forensics) vs. real time (incident response)
  • What is host forensics?
  • The order of volatility and evidence types
  • The methodology of running an investigation
  • Open source: Yes we can!
  • Building your own examination platform

Disk and filesystem analysis

  • Media analysis concepts
  • The Sleuth Toolkit
  • Partitioning and disk layouts
  • Special containers
  • Hashing
  • File carving
  • Forensic RAW Imaging with dd
  • Converting virtual storage to RAW images

Generating filesystem timelines

  • Filesystem MACB timestamps
  • Generating body files from images and mounted media
  • Timeline generation and analysis with fls and autopsy
  • Indexing modifications, access, and creation with Linux shell
  • Timeline generation and analysis

Linux filesystem artifacts

  • Linux file systems (ext2, ext3)
  • Linux boot process and services
  • Linux system organization and artifacts
  • User accounts
  • Home directories
  • Bash history
  • System logs
  • Cron jobs

Server- and service-related artifacts

  • Linux syslog (Debian) and /var/log/messages (red-hat)
  • Linux auth.log (Debian) and /var/log/secure (red-hat)
  • Parsing bash history and adding timestamps to bash history
  • Other logs: /var/log/boot.log, /var/log/dmesg, /var/log/kern.log
  • Cron logs
  • Package managers log (apt, yum etc.)
  • Web server logs: Parsing and configuring apache/nginx logs
  • Database logs (example: mysqld.log and mysql.log)
  • Bonus: Customizing iptables to log every connection

Super timeline all the things

  • Super timelines: What and why
  • Getting started with Plaso
  • Creating timelines
  • Using collection filters
  • Event filters
  • Analysis plugins
  • Analyzing Plaso output with Elasticsearch and Kibana

Linux memory forensics

  • Linux memory acquisition
  • Generating Linux profiles for volatility
  • Processes and process memory
  • Networking artifacts
  • Kernel memory artifacts
  • Filesystem in memory
  • Userland rootkits
  • Kernel-mode rootkits
  • Parsing “free-memory” with volatility strings

The Linux forensic challenge (1 Day)

  • Linux Web server Breach CTF
  • Multi-step “targeted” attack
  • Challenge walkthrough and investigative conclusions
  • Workshop summary