M64 - ONLINE WORKSHOP

Ein neuer dreitägiger Kurs in deutscher Sprache

Incident Analysis

Lernen von den Profis

Ihre Trainer sind Florian Bausch, Justus Hoffmann & Dr. Matthias Hamann

Eine Teilnahme am Workshop ist von jedem PC/Laptop/Tablet mit stabiler Internetverbindung aus möglich. Es wird keine zusätzliche Software benötigt, ein aktueller Browser genügt (aktueller Microsoft Edge, Google Chrome oder Firefox). Auch der Zugriff auf das Trainings-Lab erfolgt über den Browser. Übungen können also ebenfalls realisiert werden, ohne dass zusätzliche Software benötigt wird. Die Schulung wird selbstverständlich live aus dem ERNW-Studio übertragen. Das Workshopmaterial, sowie mögliche Demos und natürlich die Trainer sind stets sichtbar und werden je nach Erfordernis gezeigt bzw. hervorgehoben. Das Schulungsmaterial stellen wir Ihnen zusätzlich im Vorfeld elektronisch zur Verfügung. Fragen werden direkt von den Trainern beantwortet. Mikrofon und/oder Kamera sind optional, Sie können die Fragen auch über einen Chat stellen.

Kursbeschreibung

Dieses Seminar behandelt die Incident Analyse, einen Teil des Incident Respones Prozesses, und legt den Fokus auf die Analyse und Behandlung von IT-Sicherheitsvorfällen wie APTs oder Ransomware-Kompromittierungen von Windows-Umgebungen. Es wird technisches Hintergrundwissen vermittelt, Software-Werkzeuge vorgestellt, deren Funktionsweise erläutert und anhand praktischer hands-on Übungen die effektive Durchführung einer Incident-Analyse vermittelt. Hierbei werden unterschiedliche, in diesem Kontext relevante, Themenbereiche mit großer technischer Tiefe behandelt. Der Kurs richtet sich daher vorwiegend an Praktiker aus den Bereichen IT-Sicherheit, Incident Response und Incident Analyse.

Seminarinhalte

Tag 1

Begriffliche Grundlagen

Analyse von Netzwerkverkehr

• Verbindungsorientiert
• Pattern basierend
• Manuell

Korrelation mehrere Logquellen zur genaueren Analyse eines bestimmten Events 

Windows Analysis Basics

• Windows Architektur
• Analyse relevanter Event Logs
• Registry Analysis
• Malware Persistence Techniken

Tag 2

File System Analyse am Beispiel von NTFS 

• Aufdecken und wiederherstellen von gelöschten Dateien
• Erstellen einer Timeline von Dateisystemaktivitäten
• Extrahieren von Dateien aus Disk Dump

Malware Analyse – Part 1

• Tools und Techniken der statischen Analyse
• Analyse und praktische Durchführung von DLL Injections
• Analyse von schadhaften PDF- und Word-Dokumenten
• Dynamische Analyse von JavaScript

Tag 3

Malware Analyse – Part 2

• Shellcode Grundlagen
• Tools und Techniken der dynamischen Analyse
• Dynamische Analyse mittels Cuckoo

Memory Analyse mit Volatility

• Betriebssystem Daten im RAM
• Malware Hiding/Injection Techniken
• Analyse ausgewählter Angriffstechniken

HM TRAINING SOLUTIONS ON-SITE SERVICE

Alle HM Training Solutions Seminare stehen auch firmenintern zur Verfügung. Sie können auf den Bedarf Ihrer Organisation zuge schnitten werden.

Weitere Details erhalten Sie unter der Telefonnummer +49 (0) 6022 508 200.

Während dieses Kurses lernen Sie, wie man

• Indicators Of Compromise identifiziert
• Festplatten und Hauptspeicherabbilder forensisch analysiert
• Malware analysiert und ihr Verhalten nachvollzieht
• Unterschiedliche Log-Daten auswertet und korreliert

Wer sollte diesen Kurs besuchen

• Mitglieder eines CERT
• IT-Sicherheitsbeauftragte
• Interessierte an der Thematik

Voraussetzungen

Netzwerk- und Programmier-Erfahrung sind von Vorteil. Für die praktischen Übungen sollte VirtualBox bereits auf dem Laptop vorinstalliert sein und der Teilnehmer für eventuelle Konfigurationen über administrative Rechte auf dem Hostrechner verfügen. Da der Großteil der Übungen auf der Kommandozeile unter Linux stattfindet, ist Vorerfahrung hier hilfreich, aber nicht notwendig.

Profile der Seminarleiter

Ihr Trainer, Florian Bausch studierte Digitale Forensik und schrieb seine Master Thesis über die forensische Analyse von Ceph (Distributed Storage). Seit 2019 arbeitet er als Forensiker und Pentester bei der ERNW Research GmbH.

Ihr Trainer, Justus Hoffmann ist ursprünglich Dipl.-Ing. Elektrotechnik und Informationstechnik, im Laufe der Zeit hat er sich dem Themengebiet IT-Sicherheit zugewandt. Seit 2021 arbeitet er bei der ERNW Research GmbH als Incident Analyst & Pentester.

Ihr Trainer, Dr. Matthias Hamann arbeitet als Senior IT-Security Consultant & Incident Analyst bei der ERNW Research GmbH. Er studierte Informatik mit Schwerpunkt IT-Sicherheit an der Universität Mannheim und promovierte dort anschließend zum Thema „Lightweight Cryptography on Ultra-Constrained RFID Devices“. Seit seiner universitären Postdoc-Zeit hält er leidenschaftlich gerne Vorlesungen. Zu den durch ihn bereits verantworteten Lehrveranstaltungen zählen unter anderem die Vorlesungsreihen „IT-Security“, „Internet-of-Things (IoT) Security“, „Kryptographie“ und „Theoretische Informatik“. Aktuell hat Herr Hamann einen Lehrauftrag an der Universität Mannheim, wo er die Master-Vorlesung „Digital Forensics and Incident Response“ anbietet.