درباره‌ی دوره

شکارچیان تهدیدات سایبری در واقع متخصصان امنیت سایبری هستند که به صورت فعال و مداوم به دنبال شناسایی، ایزوله و خنثی‌سازی تهدیدات پیشرفته‌ای هستند که از دید راه حل‌های امنیتی خودکار سازمان دور مانده‌اند. امروز شکار تهدیدات سایبری در حال تبدیل شدن به یکی از ارکان اصلی صنعت در حال رشد امنیت سایبری به حساب می‌آید.

شکار تهدیدات سایبری شامل فرآیندهایی است که طی آن یک تحلیل‌گر امنیت (شکارچی تهدید) با ترکیبی  از روش‌ها و  تحلیل‌های انسانی با تحلیل‌های مبتنی بر ماشین تلاش می‌کند تا رخدادها یا تهدیدات امنیتی که در حال حاضر توسط فرآیندهای خودکار موجود در سازمان قابل تشخیص نیستند را شناسایی یا به اصطلاح شکار کند. با استفاده از این فرآیندها، می‌توان حملات و مهاجمین سایبری را قبل از این‌که به اهداف نهایی خود (مانند اهداف خراب‌کارانه، سرقت اطلاعات و …) دست پیدا کنند، شناسایی و با آن‌ها مقابله کرد.

در طی این دوره شما انواع تکنیک‌ها، ابزارهای مورد نیاز، فرآیندها و  سایر روش‌های مورد نیاز برای شناسایی و شکار تهدیدات سایبری در سه دسته‌ی شکار با استفاده از تحلیل وقایع، تحلیل ترافیک و تحلیل باینری‌های مشکوک را خواهید آموخت. همچنین به شکل عملی می‌آموزید که چگونه فعالیت‌های مهاجمین سایبری و گروه‌های APT  را با روش‌های مختلف در سطح شبکه، سرورها و  سیستم کاربران شکار کنید.

مدت زمان دوره

مدت زمان این دوره ۵۴ ساعت است که طی ۱۸ جلسه‌ی ۳ ساعته به صورت آنلاین، شنبه‌ و چهارشنبه‌ی هر هفته، ساعت ۱۷:۳۰ تا ۲۰:۳۰، برگزار خواهد شد. شروع این دوره از شنبه ۱۰ مهر خواهد بود.

این دوره به چه افرادی توصیه می‌شود؟

• تحلیل‌گران و مهندسین SOC
• مهندسین امنیت شبکه
• کارشناسان پاسخ‌گویی به تهدیدات سایبری
• مشاورین امنیت سایبری
• کارشناسان ارزیابی امنیت/تست نفوذ/تیم قرمز

برای حضور در این دوره چه دانش‌هایی باید داشته باشم؟

• آشنایی با مفاهیم انواع حملات سایبری
• آشنایی با سیستم‌عامل‌های ویندوز و لینوکس
• آشنایی با پروتکل‌های TCP/IP
• آشنایی با مفاهیم تحلیل وقایع و لاگ
• آشنایی با مفاهیم تحلیل ترافیک
• آشنایی با مفاهیم شبکه
• حداقل ۲ سال سابقه‌ی فعالیت در زمینه‌ی امنیت سایبری

سرفصل‌های دوره

Chapter 1: Introduction to Hunting

1.1 Threat Hunting Overview

1.2 Types of Hunting

1.3 Hunting Process

1.4 Threat Hunting and Incident Response

1.5 Threat Hunting and Forensics

1.6 Threat Intelligence

Chapter 2: Threat Hunting Methodology

2.1 Threat Research and Resources

2.2 Indicators of Compromise (IOC)

2.3 Threat Hunting Methods

2.4 Threat Hunting Report Writing

Chapter 3: Endpoint Hunting

3.1 Endpoint Hunting Overview

3.2 Endpoint Baselines

3.3 Windows Processes

3.4 Detecting Lateral Movement

3.5 Detecting Internal Reconnaissance

3.6 Windows Event Logs & Event IDs

3.7 Sysmon

3.8 PowerShell and WMI Logging

3.9 Endpoint Analytics

3.9.1 Attackers Leveraging Native Windows Binaries

3.9.2 Remote Privileged User Enumeration

3.9.3 PowerShell Executing an Encoded Script

3.9.4 Mimikatz (Binary)

3.9.5 PSExec

3.9.6 rundll32

3.9.7 Beaconing Malware

3.9.8 Malicious PowerShell Activity

3.9.9 Unauthorized DNS Server Interactions

3.9.10 SQL Injection

3.9.11 WMI Persistence

3.9.12 UAC Bypass Through Windows Event Viewer

3.9.13 net.exe Accessing an Administrative Share

3.9.14 Lateral Movement via Scheduled Tasks

Chapter 4: Malware Hunting

4.1 Malware Hunting Overview

4.2 Malware Classifications

4.3 Malware Delivery Techniques

4.4 Malware Evasion Techniques

4.5 Malware Persistence Techniques

4.6 Malware Detection Tools

4.7 Malware Detection Techniques

4.8 Memory Analysis

4.9 Windows Event Logs

Chapter 5: Malware Analysis Techniques

5.1 Static analysis

5.1.1 Antivirus scanning

5.1.2 Hashing: A Fingerprint for Malware

5.1.3 Finding Strings

5.1.4 Packed and Obfuscated Malware

5.1.5 Portable Executable File Format

5.1.6 Linked Libraries and Functions

5.1.7 Static Analysis in Practice

5.1.8 The PE File Headers and Sections

5.1.9 Levels of Abstraction

5.1.10 Reverse-Engineering

5.1.11 The x86 Architecture

5.1.12 IDA Pro

5.1.13 Loading an Executable

5.2 Dynamic analysis

5.2.1 Sandboxes

5.2.2 Sysinternals Tools

5.2.3 Comparing Registry Snapshots with Regshot

5.2.4 Faking a Network

5.2.5 Packet Sniffing with Wireshark

5.2.6 Debugging

5.2.6.1 User Debugging

5.2.6.2 Kernel Debugging

5.2.7 Windbg

5.2.8 IDA Pro

5.2.9 X86-64 Dbg

Chapter 6: Network Hunting

6.1 Network Hunting Overview

6.2 Network Hunting Tools

6.3 Hunting WMI-Based Attacks

6.4 Tunneling Techniques

6.5 Traffic Hunting

6.5.1 ARP Analysis

6.5.2 ICMP Analysis

6.5.3 TCP Analysis

6.5.4 DHCP Analysis

6.5.5 DNS Analysis

6.5.6 HTTP/HTTPS Analysis

6.5.7 Unknown Traffic Analysis

6.6 CREATING A BASELINE & DETECTING DEVIATIONS

6.6.1 Baselining & Deviation Detection Example

6.6.2 RDP Activity Baselining

6.6.3 RDP Lateral Movement Detection

Chapter 7: Hunting Web Shells

7.1 Web Shell Hunting Overview

7.2 Web Shell Hunting Tools

7.3 Web Shell Hunting Techniques