TACTICAL INCIDENT RESPONSE: SCALABLE FORENSIC ARTEFACT ACQUISITION, PROCESSING, AND AUTOMATION TECHNIQUES

Descripción

Tactical Incident Response es la intersección entre técnicas escalables de Threat Hunting y los procedimientos clásicos de Digital Forensics. Qué sucede cuando nos encontramos en la situación de adquirir y analizar artefactos forenses en cientos o miles de sistemas? Cómo decidir cuándo son necesarias las técnicas de rapid response o de full digital forensics? De quá manera podemos escanear la memoria activa de miles de procesos de sistema usando reglas Yara en múltiples endpoints? En este workshop vamos a introducir técnicas de Tactical IR para adquirir y analizar artefactos forenses con agilidad, con un foco en la escalabilidad de los procesos, la automatización y la colaboración. Tactical IR es la respuesta a incidentes orientada al diseño de estrategias de abordaje que permitan incrementar la eficiencia de nuestras operaciones, reduciendo el tiempo medio de respuesta y resolución de los incidentes cibernéticos. Este campo ha surgido como respuesta a los desafíos impuestos en el campo de la criminalística digital y la respuesta empresarial a incidentes cibernéticos fundamentalmente en el plano de la dispersión de los sistemas de usuario y las dificultades de la recolección y análisis remoto de artefactos forenses. Este workshop nos sumerge de lleno en la respuesta práctica a incidentes y nuestro rol como incident responders. Tiene como objetivo proveer una batería de herramientas que habiliten a los analistas de seguridad diseñar workflows de adquisición y análisis de datos incorporando automatización y herramientas open source.

Vamos a utilizar scripting (powershell, python y Jupyter Notebooks), Velociraptor, Kape y Thor para recabar información rápida (rapid triage) de sistemas remotos, vamos a evaluar posibles automatizaciones, cómo escalar los procesos a múltiples sistemas y cómo colaborar en el análisis usando TimeSketch, y todo esto en un entorno de laboratorio de Active Directory en la nube. El workshop va a introducir algunos artefactos forenses digitales y para que sirven (pero no tiene como objetivo definir todos y cada uno de los artefactos digitales forenses), así como también la creación de nuestras propias reglas YARA para escanear la memoria de procesos activos y detectar trazos de malware. En este training vamos también a actuar como Purple Teamers simulando ataques a los sistemas del laboratorio usando Atomic Red Team y Covenant C2 Framework.




Temario


Día 1


Introducción: Incident Response en un universo digital heterogéneo

  • Presentaciones

  • Estructura y objetivos del workshop

  • Intro: Que es la Respuesta a Incidentes y cuales son sus desafíos hoy en día

  • Problemas clásicos de adquisición de datos en ambientes distribuidos

  • Problemas clásicos de la respuesta a incidentes rápida vs profunda

Tools of the Trade

  • Las herramientas que vamos a usar en este workshop: Kape, Velociraptor, ThorLite, Yara, OSQuery, TimeSketch, Volatility, DetectionLab, Covenant C2, Jupyter Notebooks, Powershell, Python, BloodHound

  • Propósito de las herramientas y como se integran en un workflow de respuesta a incidentes

  • Observando eventos de OSQuery en Splunk 


Adquiriendo artefactos forenses con Kape

  • Instalando Kape

  • Obteniendo programas relevantes para el proceso de artefactos digitales

  • Corriendo Kape CLI y GUI

  • Análisis básico de artefactos: MFT, USN Journal, Prefetch, AmCache, AppCompatCache

  • Generando nuestro supertimeline con Kape, usamos Jupyter Notebooks para bajar archivos resultantes desde un servidor SFTP remoto

  • Analizando datos colaborativamente en TimeSketch

  • Creando un script de powershell para automatizar la recolección de datos remota con Kape

  • Ejercicios 


Adquiriendo artefactos forenses con Velociraptor

  • Instalando Velociraptor

  • Recolectando MFT, Prefetch, Scheduled Tasks y Memoria RAM de sistemas remotos

  • Análisis de resultados

  • Corriendo YARA para detectar Mimikatz

  • Ejercicios


Día 2

Velociraptor Advanced Mode

  • Utilizando Velociraptor en triage mode

  • Configurando nuestro propio HTTP server para hostear herramientas DFIR

  • Diseñando nuestros propios recolectores de datos con Velociraptor

  • Subiendo datos a un servidor SFTP en la nube

  • Diseñando nuestro pipeline DevOps con Velociraptor


Corriendo THORLite

  • Qué es THORLite y para que utilizarlo 

  • Ejecutando THORLite 

  • Diseñando nuestra propia regla YARA para detectar procesos maliciosos 

  • Enviando los resultados de THORLite a Splunk o TimeSketch para su análisis 

  • Ejercicios


Desafío Final

  • Utilizando Covenant C2 para inyectar backdoors

  • Simulando al adversario

  • Recolectando artefactos forenses

  • Generando informe final de Respuesta a Incidentes


¿A quién está dirigido?


Este training nos sumerge de lleno en el rol de un incident responder en cualquier organización a nivel local o global. Esta dirigido a profesionales del mundo de la ciberseguridad en áreas blue team, purple teamers, sysadmins con interés en defensa digital y a estudiantes avanzados de carreras de sistemas que cuenten con algunos conocimientos previos y quieran experimentar los desafíos concretos de un incident responder.




¿Qué van a aprender los estudiantes? 


  • Cómo utilizar la potencia de Kape para recolectar y automatizar el parsing de artefactos forenses digitales

  • Cómo desarrollar Timelines (lineas de tiempo) y exportarlas a TimeSketch para el análisis colaborativo de datos forenses digitales

  • Para qué sirven artefactos forenses digitales como el MFT, USN Journal, Prefetch, ShellBags, AmCache y AppCompatCache, entre otros

  • Cómo utilizar Velociraptor, una herramienta clave del mundo DFIR, para recabar información y analizar sistemas remotos Cómo aprovechar scripting (powershell y python) para vincular las distintas herramientas y diseñar workflows DFIR

  • Cómo utilizar THOR para rastrear código malicioso usando reglas YARA y otros IOC ajustables según el propósito

  • Desafíos reales en laboratorio con requerimientos de un informe final de incidentes



¿Qué conocimientos previos necesitan los estudiantes?


  • Conocimiento básico de sistemas windows (algún saber básico de linux seria deseable también)

  • Habilidad para crear y montar una VM de Win10 y configurar interfaces (ya sea en VirtualBox o VMWare Workstation Pro)

  • Conocimiento básico a intermedio de powershell (conocimientos básicos de python seria deseable)

  • Entendimiento básico a intermedio del proceso de gestión de incidentes Conocimientos básicos de ingles

  • Alguna idea de lo que son las reglas YARA seria deseable (opcional) 


Requerimientos técnicos


El instructor no se hace cargo de problemas que puedan surgir de operar con hardware que no pueda ejecutar una VM de Win10 de modo eficiente (es decir, al menos con 4GB de RAM para la VM) y que no tenga acceso a internet. Habiendo hecho esta aclaracion, aqui debajo proveemos algunos requisitos:

  • Un workstation (laptop o de escritorio) con suficiente CPU y RAM para correr una VM de Win10 con al menos 4GB de RAM. Esto quiere decir que, idealmente, se necesita un laptop con 16GB RAM. 8GB RAM pueden funcionar pero es necesario testearlo antes, corriendo una VM de WIn10 como se dijo arriba.

  • CPU: Intel i5 o i7 de 64 bits 2.0 + GHz, un procesador más reciente o un procesador equivalente en capacidad de procesamiento es obligatorio para esta clase

  • Es fundamental que su CPU y sistema operativo sean compatibles con 64 bits para que nuestra máquina virtual basada en Intel de 64 bits se ejecute en su computadora portátil. VMware proporciona una herramienta gratuita para Windows que detectará si su host admite o no máquinas virtuales de 64 bits. Para obtener más información sobre la resolución de problemas, este artículo también proporciona buenas instrucciones para que los usuarios de Windows determinen más sobre las capacidades de la CPU y el sistema operativo. Para Mac, refierase a esta página de soporte de Apple para determinar la capacidad Intel 64 bits para su modelo en particular. Nota: los sistemas Apple que utilizan el procesador M1 no pueden realizar la virtualización necesaria en este momento y no se pueden utilizar para este curso.

  • La configuración del BIOS debe poseer habilitada la tecnología de virtualización, como "Intel-VT". Tiene que estar absolutamente seguro de que puede acceder a su BIOS si está protegido con contraseña, en caso de que sea necesario realizar cambios. ¡Por favor haga las pruebas necesarias para asegurarse de que puede acceder a su BIOS!

  • Conexión a internet para acceder el laboratorio virtual en la nube y bajar las herramientas necesarias.

  • Se requiere acceso de administrador local a su maquina, para poder instalar diferentes aplicaciones de ser necesario. ¡Esto es absolutamente necesario!. ¡Por favor haga las pruebas necesarias para asegurarse de que puede ejecutar aplicaciones como administrador!

  • Última versión de Windows 10 o macOS 10.15.x


P or favor instale el siguiente software antes de la clase

  • Descargue e instale VMware Workstation Pro 15.5.X +, VMware Player 15.5.X + o Fusion 11.5+ en su sistema. Si no posee una copia con licencia de VMware Workstation o Fusion, puede descargar una copia de prueba gratuita de 30 días de VMware. VMware le enviará un número de serie por tiempo limitado si se registra para la prueba en su sitio web.





Trainer

Diego Perez

 


Diego es un especialista en Threat Hunting, Digital Forensics e Incident Response con 10+ años de experiencia en IT con los últimos 7+ años dedicados a Cyber Security. Diego ha trabajado en roles exclusivamente vinculados al mundo DFIR por los últimos 5 años, entre ellos, se desempeño como Líder de Respuesta a Incidentes en Asia-Pacífico para una empresa global, SOC Manager en Suiza y España, Threat Analyst y analista senior de seguridad para empresas en Australia. Actualmente trabaja como Senior Cyber Incident Response Analyst en Asia-Pacifico para Bupa Australia. Diego ha trabajado como consultor principal en respuesta a incidentes cibernéticos para empresas Fortune 500 y tiene experiencia práctica enfrentando intrusiones digitales de distinto tipo en entornos complejos. Diego se dedica a ayudar a múltiples organizaciones para madurar sus procesos DFIR enfocándose sobre todo en áreas clave como: la automatización de cyber operations mediante GitOps (SOC as a Code), ingeniería de detección de amenazas y arquitectura empresarial para la adquisición y proceso de datos forenses digitales. Diego ha escrito blogs como eideon.com, wikis blue team como docs.quasarops.com y actualmente escribe un libro open source sobre Incident Response en theway.threathunterz.com





Español

2 días

17 y 18 de Septiembre

ONLINE

Cost

 

USD 1000