RSA Phân tích Mã độc

04 ngày (32 giờ)

Chương trình RSA Malware Analysis cung cấp cho người tham gia kiến thức và kỹ năng để nhận diện và hành động dựa trên thông tin tình báo có thể hành động thu thập được thông qua quy trình phân tích mã độc. Người tham gia được giới thiệu về bối cảnh mối đe dọa và các vector mã độc phổ biến. Họ học cách chọn và áp dụng các công cụ và kỹ thuật cần thiết để đảo ngược, giám sát và phát hiện mối đe dọa mã độc. Người tham gia phát triển một quy trình làm việc để thu thập thông tin tình báo và áp dụng nó vào môi trường bảo mật của họ.

Sau khi hoàn thành chương trình, người tham gia sẽ có khả năng:

  • Mô tả quy trình làm việc được RSA Cyber Defense khuyến nghị để kỹ thuật đảo ngược các mối đe dọa mã độc hiện tại.
  • Đánh giá sự hiện diện của mã độc trên hệ thống.
  • Kiểm tra hành vi của mã độc và sự tương tác của nó với môi trường bằng cách sử dụng các công cụ và kỹ thuật phân tích động.
  • Phân tích các phương pháp giao tiếp ra lệnh và kiểm soát (C2) để xác định ý định và chức năng của mã độc.
  • Suy luận các hướng dẫn chương trình của một tệp thực thi mã độc thông qua việc sử dụng các công cụ phân tích tĩnh.
  • Kết hợp các phương pháp phân tích tĩnh và động để điều tra các tính năng phức tạp hơn của mã độc bằng cách sử dụng các công cụ dịch ngược và gỡ lỗi.
  • Thu thập và báo cáo thông tin tình báo có thể hành động thu được từ việc kỹ thuật đảo ngược mã độc.
  • Đề xuất thay đổi cho chương trình bảo mật dựa trên thông tin tình báo có thể hành động.

Các chuyên gia phân tích bảo mật, điều tra viên pháp y máy tính, người ứng phó sự cố có kiến thức cơ bản về phân tích mã độc và muốn tìm hiểu thêm về các công cụ và kỹ thuật liên quan đến việc thu thập và ứng phó với thông tin tình báo có thể hành động.

Không yêu cầu điều kiện tiên quyết. Khóa học phù hợp với mọi đối tượng có nhu cầu.

Sau khi hoàn tất khóa học, học viên sẽ được cấp chứng nhận hoàn tất khóa học theo quy định của Cecomtech.

  1. Giới thiệu về Phân tích Mã độc
  • Định nghĩa các thành phần của mã độc và cách chúng hoạt động cùng nhau để xâm phạm một hệ thống.
  • Xác định các vector mã độc phổ biến.
  • Mô tả các giai đoạn của chuỗi tấn công xâm nhập.
  • Phác thảo các nhiệm vụ liên quan đến phân tích mã độc.
  • Tạo một môi trường an toàn để điều tra mã và hành vi của mã độc.
  1. Đánh giá Sự tồn tại và Tính dai dẳng của Mã độc
  • Thiết lập các Chỉ số Thỏa hiệp (Indicators of Compromise).
  • Xác định các hiện vật dựa trên máy chủ.
  • Xác định các hiện vật dựa trên mạng.
  • Định vị các chỉ số thỏa hiệp.
  • Xác định phương pháp dai dẳng của mã độc.
  • Phác thảo quy trình đánh giá sự hiện diện của mã độc trên hệ thống.
  1. Phân tích Động của Mã độc
  • Phác thảo quy trình phân tích động.
  • Áp dụng các kỹ thuật phân tích động để điều tra hành vi của mã độc trong môi trường ảo.
  • Kiểm tra việc thực thi mã độc bằng trình gỡ lỗi.
  • Xác định các kỹ thuật chống phân tích.
  • Phòng thủ chống lại các kỹ thuật chống phân tích.
  • Phân tích các định dạng tệp bị khai thác phổ biến.
  1. Điều tra Giao tiếp Ra lệnh và Kiểm soát (Command and Control Communications)
  • Định nghĩa giao tiếp ra lệnh và kiểm soát như được sử dụng bởi mã độc.
  • Liệt kê các loại hoạt động mà kẻ tấn công tham gia sử dụng C2.
  • Mô tả các kỹ thuật C2.
  • Phác thảo quy trình thu thập và phân tích lưu lượng C2.
  • Mô tả cách thiết lập môi trường để điều tra C2.
  • Xác định các công cụ quan trọng để điều tra C2.
  • Chặn SSL.
  • Giải quyết vấn đề C2 không phản hồi.
  1. Phân tích Tĩnh của Mã độc
  • Giải thích quy trình phân tích tĩnh.
  • Liệt kê các kết quả của quy trình phân tích tĩnh.
  • Phân loại các nguồn dữ liệu khả thi để phân tích.
  • Xác định các phương pháp đóng gói và làm mờ được sử dụng bởi mã độc.
  • Mô tả cách các tập tin nén có thể tránh bị phát hiện.
  • Dịch ngược mã thực thi mã độc bằng IDAPro.
  • Tổ chức thông tin và dữ liệu thu được từ phân tích tĩnh.
  1. Kỹ thuật Mã độc Nâng cao
  • Nhiều lớp làm mờ.
  • Botnet.
  • Cửa hậu.
  • Gỡ lỗi bằng Ollydbg.
  • Phân tích bộ nhớ để tìm sự hiện diện của rootkit bằng Volatility.
  1. Đưa ra Khuyến nghị dựa trên Thông tin Tình báo có thể Hành động
  • Thu thập Thông tin Tình báo có thể Hành động thu được từ Phân tích Mã độc.
  • Xác định các xu hướng và vấn đề cần giải quyết.
  • Truyền đạt Thông tin Tình báo có thể Hành động.
  • Xây dựng khuyến nghị.
  • Phát triển quy tắc Yara để phân loại mã độc.

Đăng ký khóa học

Vui lòng bật JavaScript trong trình duyệt của bạn để hoàn thành Form này.