Die meisten modernen Firmen auf Unternehmensebene verstehen die Gefahren der Cyberbedrohungen für ihre Geschäfte. Einige von ihnen haben versucht, die Cyber-Sicherheitsprobleme mithilfe von System-Administratoren und Sicherheitssoftware zu lösen, aber heutzutage sind sich immer mehr Unternehmen darüber bewusst, dass sie betriebsinterne Experten und sogar Security Operation Center (SoC) benötigen.
Einer der Gründe, weshalb immer mehr Unternehmen diesen Weg einschlagen ist, dass moderne Angriffe auf Unternehmensinfrastrukturen mittlerweile anhand untypischer Mittel durchgeführt werden. Angreifer entwickeln ihre Operationen sorgfältig und schreiben teilweise einen einmaligen Code für jeden Angriff. Dies führt zu vielen Problemen bei der Erkennung von und dem Schutz vor Angriffen und verkompliziert ernsthaft die Untersuchungen dieser. Um jedoch die Daten eines Unternehmens zu schützen oder zumindest den Schaden eines Angriffes einzugrenzen, muss man teilweise so schnell wie möglich eine vollständige Analyse des schädlichen Codes durchführen.
Echte Sicherheitsexperten müssen u.a. über das notwendige Knowhow verfügen, um schädliche Codes per Reverse-Engineering analysieren zu können. Dafür braucht man nicht nur theoretisches Fachwissen, sondern auch praktische Kenntnisse, die man durch die Analyse von echter Malware, die bei gezielten Angriffen verwendet wurde, erhalten kann. Natürlich ist es nicht immer leicht, auf solche Informationen zugreifen zu können, aber wir wissen, wo man sie findet: beim jährlichen Security Analyst Summit, das dieses Jahr Anfang April in St. Maarten stattfindet.
Vor der Konferenz werden unsere Experten verschiedene Schulungssitzungen sowie einen Kurs in Malware Reverse-Engineering abhalten. Der Schulungsleiter ist Nico Brulez, Principal Security Researcher im Global Research & Analysis Team (GReAT) vom Kaspersky Lab.
Die Schulung richtet sich an Fachleute, die bereits mit Malware und Reverse-Engineering gearbeitete haben. Fachleute im Bereich forensischer Forschung, Incident Response oder Malware Analyse können diesen Kurs nutzen, wenn sie die Grundvoraussetzungen erfüllen. Der Kurs findet in den vier Tagen vor der Konferenz vom 30. März bis zum 2. April statt.
Am ersten Tag konzentrieren sich die Schüler darauf, wie man manuelle Dateien entpackt, um mit ihnen arbeiten zu können. Die berühmtesten Packer werden behandelt, um verschiedene Techniken, die von unbekannten Packern benutzt werden, einzuleiten und natürlich zu lernen, wie man richtig entpackt.
Am zweiten Tag geht es vor allem darum, Shell Codes aus schädlichen Dokumenten zu extrahieren und darum, sie per statischem Reverse-Engineering zu analysieren. Wir reden über Tricks und Shortcuts, die man auf IDA Pro für eine wirksame statische Analyse verwenden kann. Außerdem geben wir eine Einführung bezogen auf IDA Python Scripts, das verwendet wird, um das statische Reverse-Engineering zu beschleunigen.
Am dritten und vierten Tag arbeiten die Schüler an verschiedenen APT Beispielen, wobei sie die in den ersten zwei Tagen erlernten Inhalte anwenden müssen. Ihr Ziel ist es, die Handlungsweise der Bedrohung zu erkennen, fähig zu sein, deren Merkmale zu dokumentieren und zu verstehen, wie sie mit C&C Servern interagieren, um Befehle entgegenzunehmen.
Eine detaillierte Beschreibung der Schulung und der Voraussetzungen zur Teilnahme kann man hier finden. Jeder, der sich für die Schulung anmeldet, erhält einen Rabatt von 50% auf den Besuch der SAS Konferenz. Sie können sich auf dieser Webseite oder anhand einer E-Mail an sas2017@kaspersky.com mit dem Promo-Code 50SASPASS anmelden. Bitte beachten Sie, dass die Teilnehmerzahl begrenzt ist.