درباره‌ی دوره

مهاجمین و تیم‌های APT بخش قابل توجهی از فعالیت‌هایشان (مانند نفوذ اولیه، پایدارسازی دسترسی، سرقت اطلاعات و غیره) را با استفاده از ابزارها و بدافزاهای عمومی یا مختص به خود انجام می‌دهد. برای مقابله با اقدامات این افراد و همچنین بسیاری از تهدیدات سایبری دیگر، نیاز است تا سازمان قربانی توانایی بررسی و تحلیل ابزارهای مورد استفاده‌ی مهاجمین را داشته باشد. به این دانش،  به طور کلی تحلیل بدافزار (Malware Analysis) می‌گویند. به عبارت دیگر تحلیل بدافزار  فرآیندی است که طی آن ویژگی‌ها، رفتار و مشخصه‌های یک فایل مشکوک یا یک بدافزار شناخته شده را مورد بررسی و تحلیل قرار می‌دهید.

در واقع تحلیل بدافزار مجموعه‌ای از دانش‌ها و هنرهای مختلف مانند مهندسی معکوس، رمزگشایی، Deobfucation، تحلیل رفتار داینامیک و غیره است که با هدف افزایش دانش شما از یک فایل مخرب در راستای مقابله با آن استفاده می‌شود. تحلیل بدافزار اغلب به سه دسته‌ی کلی تحلیل استاتیک، تحلیل داینامیک و تحلیل ترکیبی (Hybrid Analysis) تقسیم می‌شود. این دانش  کاربردهای مختلفی دارد که به عنوان مثال می‌توان به موارد زیر اشاره کرد:

• زمان شناسایی یک بدافزار جدید یا یک فایل مشکوک در زیرساخت سازمان
• پاسخ به تهدیدات سایبری
• ردیابی و شناسایی مهاجمین
• شکار تهدیدات سایبری
• تحقیقات بر روی بدافزارها و شیوه‌ی عملکرد آن‌ها و استخراج IOC و IOA

این دوره با هدف آموزش دانش، تکنیک‌ها و ابزارهای مورد نیاز برای تحلیل انواع بدافزار به منظور مقابله و شناسایی آن‌ها ارایه شده است. شما با گذارندن این دوره، انواع تکنیک‌های تحلیل داینامیک و استاتیک، Sandboxing، Deobfucation، استخراج مشخصه‌های بدافزار، نگاشت کردن آن‌ها با فریم‌ورک MITRE ATT&CK، بهره‌برداری از یافته‌ها در راستای مقابله با بدافزارها و بسیاری موارد دیگر را به صورت عملی خواهید آموخت. این دوره به صورت سناریو محور بوده و در طی آن سناریوهای بدافزارهای مختلف را مشاهده و تجربه خواهید کرد.

مدت زمان دوره

مدت زمان این دوره ۳۳ ساعت است که طی ۱۱ جلسه‌ی ۳ ساعته، شنبه و چهارشنبه‌ی هر هفته، به صورت آنلاین برگزار خواهد شد. شروع این دوره چهارشنبه ۶ بهمن، ساعت ۱۷:۳۰ خواهد بود.

گواهینامه‌ی دوره

برای دریافت گواهینامه‌ی این دوره، ده روز پس از جلسه‌ی پایانی، آزمونی برگزار خواهد شد که با قبولی در این آزمون، امکان صدور گواهینامه‌ی دوره برای شما را خواهیم داشت. حضور در آزمون پایانی و دریافت گواهینامه‌ی دوره برای شرکت‌کنندگان اختیاری است.

هزینه‌ی شرکت در آزمون پایانی: ۳۰ هزارتومان
هزینه‌ی چاپ و صدور گواهینامه‌ی دوره: ۵۰ هزارتومان

این دوره به چه افرادی توصیه می‌شود؟

• تحلیل‌گران امنیت و کارشناسان لایه‌های مختلف SOC
• کارشناسان پاسخ به تهدیدات سایبری
• کارشناسان Forensic Investigation
• مشاورین و مدیران امنیت سایبری
• متخصصین تیم قرمز

برای حضور در این دوره چه دانش‌هایی باید داشته باشم؟

• آشنایی با مفاهیم حملات سایبری
• آشنایی با مفاهیم سیستم‌عامل‌های ویندوز و لینوکس
• آشنایی با پروتکل‌های TCP/IP
• آشنایی با حداقل یکی از زبان‌های برنامه‌نویسی یا اسکریپت‌نویسی
• آشنایی با مفاهیم شبکه

سرفصل‌های دوره

Chapter 1: Basic Techniques

1.1 Creating and Maintaining your Detonation Environment

1.1.1 Setting up VirtualBox with Windows 10

1.1.2 Installing the FLARE VM Package

1.1.3 Isolating Your Environment

1.1.4 Maintenance and Snapshotting

1.2 Static Analysis – Techniques and Tooling

1.2.1 The Basics – Hashing

1.2.1.1 Hashing Algorithms

1.2.1.2 Obtaining File Hashes

1.2.2 Avoiding Rediscovery of the Wheel

1.2.2.1 Leveraging VirusTotal

1.2.3 Getting Fuzzy

1.2.4 Picking Up the Pieces

1.2.4.1 Malware Serotyping

1.2.4.2 Collecting Strings

1.2.5 Challenges

1.3 Dynamic Analysis – Techniques and Tooling

1.3.1 Detonating Your Malware

1.3.1.1 Monitoring for Processes

1.3.1.2 Network IOC Collection

1.3.2 Discovering Enumeration by the Enemy

1.3.2.1 Domain Checks

1.3.2.2 System Enumeration

1.3.2.3 Network Enumeration

1.3.3 Case study – Dharma Discovering Persistence Mechanisms

1.3.3.1 Run Keys

1.3.3.2 Scheduled Tasks

1.3.3.3 Malicious Shortcuts and Startup Folders

1.3.3.4 Service Installation

1.3.3.5 Uncovering Common Techniques

1.3.3.6 Final Word on Persistence

1.3.4 Using PowerShell for Triage Persistence Identification

1.3.4.1 Registry Keys

1.3.4.2 Service Installation

1.3.4.3 Scheduled Tasks

1.3.4.4 Less Common Persistence Mechanisms

1.3.5 Checking User Logons

1.3.6 Locating Secondary Stages

1.3.7 Examining NTFS (NT File System)

1.3.8 Alternate Data Streams

1.3.9 Challenge

1.4 A Word on Automated Sandboxing

1.4.1 Using HybridAnalysis

1.4.2 Using Any.Run

1.4.3 Installing and Using Cuckoo

1.4.4 Sandbox

1.4.5 Cuckoo Installation – Prerequisites

1.4.6 Installing VirtualBox

1.4.6.1 Cuckoo and VMCloak

1.4.6.2 Defining Our VM

1.4.6.3 Configuring Cuckoo

1.4.6.4 Network Configuration

1.4.6.5 Cuckoo Web UI

1.4.6.6 Running Your First Analysis in Cuckoo

1.4.7 Shortcomings of Automated

1.4.8 Analysis Tools

1.4.9 Challenge

Chapter 2: Debugging and Anti-Analysis Going Deep

2.1 Advanced Static Analysis

2.1.1 Dissecting The PE File Format

2.1.1.1 The DOS Header

2.1.1.2 PE file Header

2.1.1.3 Optional Header

2.1.1.4 Section Table

2.1.1.5 The Import Address Table

2.1.2 Examining Packed Files and Packers

2.1.2.1 Detecting Packers

2.1.2.2 Unpacking Samples

2.1.3 Utilizing NSA’s Ghidra/IDA Pro for Static Snalysis

2.1.3.1 Setting Up a Project in Ghidra/IDA Pro

2.1.4 Challenge

2.2 Advanced Dynamic Analysis 1

2.2.1 Monitoring Malicious Processes

2.2.1.1 Regshot

2.2.1.2 Process Explorer

2.2.1.3 Process Monitor

2.2.1.4 Getting away with it

2.2.2 Network-Based Ddeception

2.2.2.1 FakeNet-NG

2.2.2.2 ApateDNS

2.2.3 Hiding in Plain Sight

2.2.3.1 Types of Process Injection

2.2.3.2 Detecting Process Injection

2.2.4 Case Study – TrickBot

2.2.5 Challenge

2.3 Advanced Dynamic Analysis 2

2.3.1 Leveraging API Calls to Understand Malicious Capabilities

2.3.1.1 x86 Assembly Primer

2.3.2 Identifying anti-Analysis Techniques

2.3.2.1 Examining Binaries in Ghidra/IDA Pro for Anti-Analysis Techniques

2.3.2.2 Other Analysis Checks

2.3.3 Tackling Packed Samples

2.3.3.1 Recognizing Packed Malware

2.3.3.2 Manually Unpacking Malware

2.3.4 Challenge

2.4 De-Obfuscating Malicious Scripts

2.4.1 Identifying Obfuscation Techniques

2.4.1.1 String Encoding

2.4.1.2 String Concatenation

2.4.1.3 String Replacement

2.4.1.4 Other Methodologies

2.4.2 Deobfuscating Malicious VBS Scripts

2.4.2.1 Utilizing VbsEdit

2.4.2.2 Using WScript.Echo

2.4.3 Deobfuscating Malicious

2.4.3.1 PowerShell Scripts Compression

2.4.3.2 Other Methods Within PowerShell

2.4.3.3 Emotet Obfuscation

2.4.4 A Word on Obfuscation and De-Obfuscation Tools

2.4.4.1 Invoke-Obfuscation and PSDecode

2.4.4.2 JavaScript Obfuscation and JSDetox

2.4.4.3 Other Languages

2.4.5 Challenges

Chapter 3: Reporting and Weaponizing Your Findings

3.1 The Reverse Card: Weaponizing IOCs and OSINT for Defense

3.1.1 Hashing Prevention

3.1.1.1 Blocking Hash Execution with Group Policy

3.1.1.2 Other Methodologies

3.1.2 Behavioral Prevention

3.1.2.1 Binary and Shell-Based Blocking

3.1.2.2 Network-Based Behaviors

3.1.3 Network IOCs

3.1.4 IOC-Base Blocking

3.1.5 Challenge

3.2 Malicious Functionality: Mapping Your Sample to MITRE ATT&CK

3.2.1 Understanding MITRE’s ATT&CK Framework

3.2.1.1 Tactics – Building a Kill Chain

3.2.2 Case study: Andromeda

3.2.2.1 Initial Access

3.2.2.2 Execution

3.2.2.3 Persistence

3.2.2.4 Defense Evasion

3.2.2.5 Command and Control

3.2.3 Utilizing MITRE ATT&CK for C-Level Reporting

3.2.3.1 Reporting Considerations

3.2.4 Challenge

Chapter 4: Challenge Solutions