Programa avanzado en Análisis Forense

• Identificar las diferencias entre los informes periciales forenses y los informes técnicos forenses.
• La estructura de los informes periciales y los informes técnicos.
• La importancia de la ISO27037 respecto a los informes periciales
• El papel del informe pericial y el perito.
• La ética e imparcialidad de los peritos.
• La importancia de la prueba digital
• Los derechos fundamentales a la hora de las investigaciones
• Fases de la pericial forense
• La cadena de custodia

El punto de partida en cualquier investigación forense es la recolección de evidencias. Las pruebas digitales que se utilizan en este tipo de investigación forense son datos, que pueden encontrarse en una amplia gama de formatos y lugares. En primera instancia, es necesario identificar los datos que pueden ser necesarios, establecer dónde están alojados y, finalmente, elaborar una estrategia y procedimientos para su recolección. Esta unidad versará sobre adquisición digital y tratamiento de datos, los conocimientos necesarios para responder adecuadamente, identificar, recopilar y conservar datos de una amplia gama de dispositivos de almacenamiento garantizando que la integridad de las pruebas sea irreprochable.

• Metodologías para acceder y adquirir datos de dispositivos IoT.
• Recopilación rápida de artefactos de respuesta a incidentes para avanzar rápidamente en la investigación sin esperar a la finalización de una imagen forense.
• Recopilación remota y empresarial de pruebas digitales.
• Recopilación de artefactos de en sistemas operativos Windows.
• Recopilación de memoria.
• Adquisición de instantáneas de volumen.
• Comprensión de contenedores de almacenamiento avanzados como RAID y JBOD.
• Análisis de los sistemas de archivos y cómo almacenan los datos.
• Comprensión avanzada de la correcta recogida de pruebas y gestión de escenas.
• Identificación de dispositivos y ubicaciones de almacenamiento de datos.
• Acceso a medios de almacenamiento mediante métodos no destructivos.
• Acceso y recogida de contenedores de almacenamiento basados en la nube.

En esta unidad se enseñará a aplicar un enfoque dinámico a la respuesta ante incidentes. Utilizando indicadores de compromiso, se enseñarán los pasos para responder eficazmente a las brechas de seguridad que afectan a sistemas Windows, Linux y plataformas en la nube. Para los investigadores forenses, es muy importante conocer las tácticas, técnicas y procedimientos de los atacantes, de cara a saber qué se debe investiga y sobre todo, comunicar a los gestores de incidentes los hallazgos.

• Aplicar un enfoque dinámico a la respuesta a incidentes.
• Identificar amenazas mediante análisis de host, red y registro.
• Mejores prácticas para una respuesta eficaz a incidentes en la nube.
• Procesos de investigación cibernética utilizando análisis en vivo, conocimiento de la red y análisis forense de la memoria.
• Cómo aprovechan los atacantes los sistemas en la nube contra las organizaciones.
• Técnicas de los atacantes para eludir las herramientas de detección de puntos finales.
• Cómo explotan los atacantes las vulnerabilidades complejas de la nube.
• Pasos de los atacantes para el descubrimiento interno y el movimiento lateral después de un compromiso inicial.
• Cómo explotan los atacantes los sistemas de acceso público, incluido Microsoft 365.

Las tácticas y procedimientos de ThreatHunting es una de las habilidades que debe tener un analista forense con capacidades avanzadas. Los equipos de respuesta a incidentes donde trabajan los investigadores forenses son la clave para identificar y observar los indicadores de malware y los patrones de actividad con el fin de generar información precisa sobre amenazas que pueda utilizarse para detectar intrusiones actuales y futuras. Este curso en profundidad sobre caza de amenazas en sistemas Windows proporciona las habilidades avanzadas para cazar, identificar, contrarrestar y recuperarse de una amplia gama de amenazas dentro de las redes empresariales.

• Técnicas y procedimientos necesarios para cazar, detectar y contener eficazmente a diversos adversarios, así como para remediar incidentes.
• A Detectar y cazar malware vivo, latente y personalizado desconocido en la memoria de sistemas Windows.
• Determinar cómo se produjo la brecha identificando la causa raíz.
• Identificar las técnicas de vida en la tierra, incluido el uso malicioso de PowerShell y WMI.
• A Identificar las técnicas anti forenses avanzadas de los adversarios.
• Identificar técnicas de movimientos lateral desde el punto de vista forense en sistemas Windows con todos los artefactos forenses.
• Comprender cómo el atacante adquirir credenciales legítimas, incluidos los derechos de administrador de dominio.
• Análisis de línea de tiempo.

Los sistemas basados en Linux se encuentran ampliamente desplegados tanto en plataformas cloud como en sistemas locales.

• La utilización de herramientas de recolección de artefactos forenses.
• El análisis de logs de los principales demonios.
• El Análisis del sistema de archivos.
• La Identificación de borrado de fichero y binarios.
• La Identificación del árbol de procesos.
• Recuperación con Bul Extractor.
• Análisis de memoria.
• Identificación de Backdoors y malware persistente.

Hoy en día, las empresas cuentan con miles de sistemas, desde ordenadores de sobremesa hasta servidores, desde los locales hasta la nube. Aunque la ubicación geográfica y el tamaño de la red no han disuadido a los atacantes de vulnerar a sus víctimas, estos factores plantean retos únicos a la hora de que las organizaciones puedan detectar y responder con éxito a los incidentes de seguridad. Es importante que el analista forense se centre en los conceptos: recopilar, analizar y tomar decisiones basadas en la información de cientos de máquinas. Esto requiere la capacidad de automatización y la capacidad de centrarse rápidamente en la información adecuada para el análisis. Mediante el uso de herramientas creadas para operar a escala empresarial, los estudiantes aprenderán las técnicas para recopilar datos específicos para la caza de amenazas. A continuación, los estudiantes profundizarán en las metodologías de análisis, aprendiendo múltiples enfoques para comprender el movimiento y la actividad de los atacantes en hosts con distintas funciones y sistemas operativos mediante el uso de técnicas de análisis cronológico, gráfico, estructurado y no estructurado.

• Desplegar plataformas de colaboración forense masivo y análisis que permitan a los equipos trabajar simultáneamente en distintas salas, estados o países.
• Recopilar datos forenses basados en host y en la nube de entornos de gran tamaño.
• Analizar las mejores prácticas para responder a las plataformas en nube Azure, M365 y AWS.
• Analizar microservicios en contenedores, como contenedores Docker.
• Correlacionar y analizar datos a través de múltiples tipos de datos y máquinas utilizando una miríada de técnicas de análisis.
• Realizar análisis de datos estructurados y no estructurados para identificar el comportamiento de los atacantes.
• Enriquecer los datos recopilados para identificar indicadores adicionales de compromiso.
• Desarrollar firmas y análisis de IOC para ampliar las capacidades de búsqueda y permitir la detección rápida de incidentes similares en el futuro.

• Seleccionar las herramientas, técnicas y procedimientos forenses más eficaces para analizar eficazmente los datos de smartphones para Android e IOS.
• Comprender cómo almacenan los datos los sistemas de archivos en smartphones Android e IOS, en qué se diferencian y cómo se almacenarán las pruebas en cada dispositivo.
• Interpretar los sistemas de archivos en smartphones Android e IOS y localizar la información a la que los usuarios no suelen tener acceso.
• Vincular a un usuario a un smartphone en una fecha/hora concreta y en varios lugares
• Detectar en Android e IOS comprometidos por malware y spyware mediante métodos forenses.
• Descompilar y analizar malware móvil utilizando herramientas de código abierto.
• Manejar el cifrado de smartphones y descifrar archivos de copia de seguridad de iOS cifrados con iTunes.
• Analizar bases de datos SQLite y volcados de datos sin procesar de smartphones para recuperar información eliminada.
• Aplicar técnicas avanzadas de análisis de datos en smartphones para validar los resultados y extraer datos perdidos o eliminados.

• Explicación de los diferentes tipos de malware en dispositivos IoT y sus características.
• Descripción técnica de algunos incidentes relacionados con malware de especial relevancia que han afectado a dispositivos IoT (Mirai, Reaper, etc.).
• Técnicas y metodologías para analizar malware en dispositivos IoT.
• Se llevará a cabo el análisis de un firmware IoT comprometido con determinado malware, utilizando herramientas forenses y de ingeniería inversa especializadas.

Durante la práctica se explicarán herramientas de análisis estático (IDA, Ghidra) así como herramientas de análisis dinámico utilizando entornos de sandboxing/virtualización, como QEMU, para ejecutar el malware de manera segura. Como resultado de estos análisis, se obtendrá el C2 utilizado por el malware y se crearán IOC (reglas Snort/Yara) con el objetivo de compartir inteligencia para detectar la presencia del código malicioso en futuros incidentes de seguridad.

An asynchronous module in which time will be provided to prepare for and take the certification exams included in the program. IMMUNE, in this case, acts as a facilitator in connecting the certifying entity and the student, easing the process but without having authority over the exam or the grades obtained by the students.

• Team building.
• Choice of topic for final project.
• Assignment of tutors.
• Development of the project with an assigned tutor.
• Project delivery.

Presentation of the final project before a panel of experts.