M64 - ONLINE WORKSHOP

Incident Analysis

Lernen von den Profis

Ihre Trainer sind Florian Bausch, Justus Hoffmann & Lucas Wenzel

Eine Teilnahme am Workshop ist von jedem PC/Laptop/Tablet mit stabiler Internetverbindung aus möglich. Es wird keine zusätzliche Software benötigt, ein aktueller Browser genügt (aktueller Microsoft Edge, Google Chrome oder Firefox). Auch der Zugriff auf das Trainings-Lab erfolgt über den Browser. Übungen können also ebenfalls realisiert werden, ohne dass zusätzliche Software benötigt wird. Die Schulung wird selbstverständlich live aus dem ERNW-Studio übertragen. Das Workshopmaterial, sowie mögliche Demos und natürlich die Trainer sind stets sichtbar und werden je nach Erfordernis gezeigt bzw. hervorgehoben. Das Schulungsmaterial stellen wir Ihnen zusätzlich im Vorfeld elektronisch zur Verfügung. Fragen werden direkt von den Trainern beantwortet. Mikrofon und/oder Kamera sind optional, Sie können die Fragen auch über einen Chat stellen.

Kursbeschreibung

Dieses Seminar behandelt Grundlagen (Tage 1 bis 3) und fortgeschrittene Themen (Tage 4 und 5) der Incident-Analyse als Teil des Incident-Response-Prozesses. Dabei wird neben der Darstellung des notwendigen technischen Hintergrundwissens auch großen Wert auf die Vermittlung unmittelbar anwendbarer praktischer Fertigkeiten gelegt. Dazu werden verschiedenste (insbesondere frei verfügbare) Software-Werkzeuge vorgestellt, deren Funktionsweise erläutert und anhand praktischer Hands-on-Beispiele die effektive Durchführung konkreter Incident-Analyse-Schritte eingeübt.

Im Grundlagenteil des Kurses (Tage 1 bis 3) erfolgt eine breitgefächerte Einführung in verschiedenste, in diesem Kontext relevante Themenbereiche, Techniken und Vorgehensweisen. Ein besonderer Fokus wird dabei auf die Untersuchung typischer, weitverbreiteter Incident-Szenarien wie die Ransomware-Kompromittierung einer Windows-Active-Directory-Umgebung gelegt.

Im Fortgeschrittenenteil des Kurses (Tage 4 und 5) werden tiefergehende Fertigkeiten der Analyse und Behandlung von IT-Sicherheitsvorfällen in Windows- und Linux-Umgebungen vermittelt. Diese beinhalten beispielsweise fortgeschrittene Techniken der Malware-Analyse wie den Einsatz eines Debuggers/Disassemblers/Decompilers und die Gewinnung von Incidators of Compromise (IoCs) aus Arbeitsspeicherdumps von physischen oder virtuellen Maschinen.

Der Kurs richtet sich vorwiegend an Praktiker aus den Bereichen IT-Sicherheit, Incident Response und Incident Analyse.

31. März - 2. April 2025
Kurs Grundlagen  Live-Online-Webinar

3. - 4. April 2025
Kurs Fortgeschritten  Live-Online-Webinar

Seminarinhalte Kursteil „Grundlagen" (Tage 1 bis 3)

Tag 1

• Begriffe und Grundlagen
• Attack Lifecycle
• Analysestrategien
• Timelines
• Indicators of Compromise (IoCs)
• Analyse von Netzwerkverkehr
• Datenquellen und Datenformate
• Korrelation mehrerer Logquellen
• Dateisystemanalyse
• Erstellung von Dateisystemimages
• File Carving
• Erstellen einer Timeline von Dateisystemaktivitäten
• Extrahieren von Dateien aus Disk Dumps
• Aufdecken und Wiederherstellen von gelöschten Dateien

Tag 2

• Windows Analysis Basics
• Registry
• Windows Event Logs
• Malware Persistence Techniken
• Spuren ausgeführter Programme (Evidence of Execution)
• Active Directory Basics
• Architektur
• Authentifizierung
• Angriffe und Angriffserkennung
• Static Document Analysis
• PDF
• Dateiformat und Analyse
• Extrahieren von bösartigem Code
• MS-Office
• Dateiformat und Analyse
• Extrahieren von Makros und bösartigem Code

Tag 3

• Analyse von PE-Dateien (EXE, DLL etc.)
• Dateiformat und statische Analysewerkzeuge
• Malwaretypische Windows API-Funktionen
• Erstellung und Nutzung von YARA-Regeln
• DLL Injection
• Analyse und praktische Durchführung von DLL Injections
• Erkennung von DLL Injection und Process Hollowing
• Automatisch-Dynamische Malwareanalyse mittels Sandbox-Lösungen

Seminarinhalte Kursteil „Fortgeschritten" (Tage 4 bis 5)

Tag 4

• Erweiterte Dateisystemanalyse
• Linux-Dateisysteme
• Analyse von ext-Dateisystemen
• Auswertung von Dateisystem-Journals
• Linux Analysis Basics
• Angreifer-Persistenz auf Linux-Systemen
• Logs und andere Datenquellen für die Analyse
• Decompiler
• Dekompilieren von Maschinencode und Bytecode
• Workflow und Strategien bei der Analyse
• Potenzielle Probleme und Tricks
• Shellcode
• Grundlagen der Shellcodeanalyse

Tag 5

• Dynamische Malwareanalyse
• Werkzeuge und Techniken für die dynamische Malwareanalyse
• Analyse mittels Sysinternals Tools, Debuggern und Sandboxen
• Memory Analysis
• Betriebssystemdaten im RAM
• Malware Hiding/Injection Techniken
• Analyse ausgewählter Angriffstechniken

HM TRAINING SOLUTIONS ON-SITE SERVICE

Alle HM Training Solutions Seminare stehen auch firmenintern zur Verfügung. Sie können auf den Bedarf Ihrer Organisation zuge schnitten werden.

Weitere Details erhalten Sie unter der Telefonnummer +49 (0) 6022 508 200.

Während dieses Kurses lernen Sie unter anderem, wie man

• Indicators Of Compromise identifiziert und nutzbar macht
• Unterschiedliche Log-Daten auswertet und korreliert
• Festplatten und Hauptspeicherabbilder forensisch untersucht
• Malware analysiert und ihr Verhalten nachvollzieht

Wer sollte diesen Kurs besuchen

• Mitglieder eines CERT
• IT-Sicherheitsbeauftragte
• Interessierte an der Thematik

Inhaltliche Voraussetzungen

Netzwerk- und (grundlegende) Programmier-Erfahrung sind von Vorteil. Da ein Großteil der Übungen auf der Kommandozeile unter Linux stattfindet, ist entsprechende Vorerfahrung hier hilfreich, aber nicht zwingend notwendig.

Profile der Seminarleiter

Ihr Trainer, Florian Bausch studierte Digitale Forensik und schrieb seine Master Thesis über die forensische Analyse von Ceph (Distributed Storage). Seit 2019 arbeitet er als Forensiker und Pentester bei der ERNW Research GmbH.

Ihr Trainer, Justus Hoffmann ist ursprünglich Dipl.-Ing. Elektrotechnik und Informationstechnik, im Laufe der Zeit hat er sich dem Themengebiet IT-Sicherheit zugewandt. Seit 2021 arbeitet er bei der ERNW Research GmbH als Incident Analyst & Pentester.

Ihr Trainer, Lucas Wenzel studierte IT-Sicherheit und Informationstechnik an der Ruhr-Universität Bochum und schrieb seine Abschlussarbeit über die Effizienz von Mitigationen zu Hardware Schwachstellen auf tiefgehender Betriebssystemebene. Seit 2024 arbeitet er bei der ERNW Research GmbH als Security Analyst und Incident Responder.