קהל היעד

הסדנה מיועדת לאנליסטים, חוקרי אבטחה, חוקרים פורנזיים, וצוותי Incident Response המעוניינים לרכוש ידע מעשי בתחום.

דרישות קדם

היכרות עם מערכות הפעלה ברמת משתמש

היכרות עם פרוטוקולי תקשורת TCP/IP

היכרות עם טכניקות לוחמת סייבר

היכרות עם לינוקס ו-bash – יתרון

משך הסדנה

80 שעות

תיאור ומטרת הקורס

בחקירת אירועי סייבר, דגימות תקשורת (network captures) הן בד”כ הראיות שאיש לא טרח לאסוף מזירת הפשע. חוקרים פורנזיים יקבלו את הכוננים הקשיחים של המחשבים שהותקפו, לעיתים גם את דגימות הזיכרון שלהם, ואפילו רשומות אירועים משירותים וציוד אבטחה, אבל משום מה, מעטים הארגונים בעולם שדוגמים ומקליטים את תעבורת הרשת באופן שוטף או אפילו באופן יזום תוך כדי אירוע אבטחה. התירוצים לכך רבים; נפח האחסון הנדרש, חוסר היכולת לפענח מידע מוצפן ועוד. מדובר באבדן מידע יקר מפז עבור החוקר.

דגימות תקשורת הן כנראה הראייה המפלילה היחידה להתרחשותה של פעולת תקשורת – למעשה, זו הראייה היחידה שהתוקף לא יכול להסתיר או להעלים. בסדנה מעשית זו יקבלו הסטודנטים את הכלים ל”הבנת הנקרא” של תקשורת נתונים משל היתה טקסט ; להבין מי אמר למי, מה נאמר, כמה זמן וכמה מידע הועבר, כיצד להרכיב שיחות, כיצד לחלץ קבצים, כיצד לזהות חיבורי שליטה, כיצד לדגום נפחים גדולים של תקשורת באמצעות כלים חינמיים, וכיצד לצוד התנהגויות מוזרות וחתימות מידע בזמן אמת ועל גבי תעבורה בקצב גבוה.

אודות CYBERPRO

CYBERPRO הוקמה בשיתוף פעולה עם גורמי אבטחת מידע והדרכה בינלאומיים אשר מביאים לישראל את טכנולוגיות הכשרת הסייבר מהמובילות בעולם ואת חוויית הלימוד בסטנדרט הגבוה ביותר הקיים כיום.

בין השותפים נמצאת גם קבוצת IITC אשר מכשירה בוגרים לתעשיית ההייטק כבר למעלה מ 20 שנה ונבחרה להיות מרכז הדרכה של חברת Cisco בישראל.

ההכשרות המתקדמות והמבוקשות של CYBERPRO בתחומי תשתיות, אבטחת מידע וסייבר הינן שם דבר בעולם. הכשרות אלו פותחו על ידי מומחי סייבר מהשורה הראשונה בעולם, עבור גופיי אבטחה בינלאומיים השמים דגש רב על יכולות ההדרכה הגבוהות, שיטות הלמידה המקצועיות וטכנולוגיות האימון והתרגול הייחודיות. החיבור עם גופים בינלאומיים מאפשרים לסטודנטים הלומדים אצלנו להחשף להזדמנויות תעסוקה ייחודיות בארץ ובעולם.

מסלולי ההכשרה והלימוד מבוססים כולם על תרגול מעשי רב, הכנה לדרישות התעשיה והמקצוע ולכן משלבים מעבדות טכנולוגיות ותרגול באמצעות סימולטור מהמתקדמים בעולם.

תכנים מקצועיים שילמדו

Why bother parsing network traffic?

  • Anatomy of targeted attacks (MITRE ATT&CK)
  • Types of digital evidence
  • Post-mortem forensics vs. (near) real-time analysis
  • Enterprise-scale network captures (and the storage dilemma)

Networking 101

  • OSI and TCP/IP
  • Network traffic analysis with Wireshark
  • Ethernet PDUs
  • IP, PDU, and ARP
  • TCP and UDP
  • DHCP, DNS, and ICMP
  • Applications: HTTP, SSL, and SMB

Parsing traffic with Linux shell

  • Getting to grips with Linux shell
  • Using tcpdump
  • Text processing with grep
  • Regular expressions
  • Bash tools: wc, sort, cut, uniq
  • Tshark: tcpdump on steroids
  • Visualizing traffic

Indexing and generating statistics

  • Timeframes
  • Packet rates and data rates
  • Endpoints (L2, L3)
  • Conversations
  • Protocol hierarchy
  • IO stats
  • Fingerprinting hosts and users
  • Enumerating domains

Parsing the higher layers

  • TCP stream reassembly
  • File carving with magic numbers
  • Manual carving
  • Foremost with assembled data streams
  • File carving through protocol analysis (bro)
  • Other protocol parsers

Case #1: Mail harassment

  • Case description
  • Reducing investigation surface
  • Mapping: Who’s who and what’s what
  • Anchor: correlate evidence with story
  • The application layer: http header analysis
  • The application layer: Plain-text user inputs
  • The application layer: Session cookies and unique identifiers
  • Bonus: The bottom-up approach

Introduction to malware and targeted attacks

  • Code vulnerabilities
  • What are exploits?
  • Exploit kits and custom malware
  • What are payloads?
  • What are C2s (control connections)?
  • Demo: Boot2Root
  • Anatomy of an attack

Case #2: Simple exploitation

  • Aurora (CVE-2010-0249) case study
  • Evidence scoping
  • Extracting malware
  • Reading (obfuscated) code
  • Signature-based screening
  • Static and dynamic analysis
  • (Re)constructing attack flows

Big Brother tactics

  • Sniffers, sensors and taps, and protocol analyzers
  • Deploying Security Onion sensor
  • HW/SW requirements (and myths)
  • IDS, IPS, monitoring, and network security analytics
  • Snort/Suricata concepts, config, and common rule sets
  • Writing IDS rules
  • Catching “zero days” with Snort

Case #3: New perspectives

  • Extracting malware from pcap
  • Scanning for propagation
  • Malware detection with anti-malware
  • Malware detection with IDS
  • Static malware analysis
  • Dynamic malware analysis
  • Remote administration tools (RATs)