eLearnSecurity Certified Incident Responder (eCIR) Review

3 min readDec 2, 2022

Introduction

สำหรับคนที่ทำงานในด้าน Security ในฝั่ง Blueteam คงจะรู้จัก Certificate อย่าง Sec+, CySA+, CHFI และ ECIH ที่เป็นของค่าย Comtia และ EC-Council ซึ่งเป็นการสอบแบบการตอบคำถามโดยการเลือก choice ตอบให้ถูกต้องเพื่อวัดระดับความรู้

โดยส่วนตัวได้มีการสอบในระดับนึงแล้ว จึงสนใจจะหา Certificate ที่เป็นการสอบแบบ Hand-on จากการหาข้อมูลมีอยู่สองค่ายที่สอบแบบ Hand-on ที่เน้นไปทางด้าน Investigation นั่นคือ eCIR (ค่าย eLearnSecurity) และ BTL1,2 (ค่าย Security Blue Team) ซึ่งสุดท้ายได้เลือกสอบเป็น eCIR ไปเนื่องจาก BTL เป็น Certificate ที่ค่อนข้างยังใหม่อยู่ และ eCIR มีราคาสอบที่ถูกกว่า จึงจะมาเล่าประสบการณ์ที่ได้ไปสอบ Certificate ตัวนี้มา

Course Material and Labs

ในส่วนของคอร์สนั้นเป็นคนละส่วนกับการสอบ โดยเราจะต้องสมัครแยกและเข้าไปเรียนด้วยตนเองที่ INE ซึ่งข้อดีของ INE คือเราสามารถเข้าไปเรียนคอร์สใดก็ได้ ซึ่งเนื้อหาในส่วนที่เกี่ยวข้องกับ eCIR (eLearnSecurity) จะเป็น Slide สะส่วนใหญ่ และก็จะมี LAB ให้เล่น

ในส่วนของเนื้อหาจะเริ่มตั้งพื้นฐานในเรื่องของ Process ของการทำ Incident Handling ตั้งแต่การ Preparation, Detection&Analysis, Containment, Eradication& Recovery, Post-Incident Activity จนไปถึงเทคนิคการวิเคราะห์ Network Traffic โดยใช้เครื่องมือต่างๆเช่น Wireshark, Suricata, Zeek และ Snort นอกจากนั้นจะเป็นในเรื่องของเทคนิคการโจมตีและการตรวจจับต่างๆใน Post-Exploitation บน Endpoint ประกอบไปด้วยการทำ Enumeration, Privilege Escalation, Persistence, Lateral Movement ซึ่งมีการอธิบายค่อนข้างละเอียดเลยทีเดียว โดยเนื้อหาในส่วนมากจะเน้นไปที่ Windows และ Active Directory เป็นหลัก

ในส่วนของตัว Lab จะเป็นมีให้เล่นในส่วนของการ Query ข้อมูลบน SIEM โดยชุดข้อมูลที่ใช้งานใน SIEM นั้นจะเป็น Splunk Boss ซึ่งใช้ในการซ้อมมือก่อนการสอบได้ นอกจากนั้นจะมี Lab การใช้งานเครื่องมือต่างๆในการวิเคราะห์ Network Traffic ที่ได้กล่าวไปข้างต้น

Exam

สำหรับการสอบของค่ายนี้ หากเราพร้อมเมื่อไหร่สามารถกดสอบได้ทันทีโดยที่ไม่ต้องจองวันสอบล่วงหน้า (ต้องสอบภายใน 180 วันหลังจากที่ซื้อ Vouchers) โดยการสอบจะมีเวลาทั้งหมด 4 วันโดยแบ่งเป็นการทำ Lab 2 วันโดยเมื่อครบตามเวลาเราจะไม่สามารถ Access เข้าไปทำ LAB ต่อได้จากนั้นจะมีเวลาให้เขียน Report ส่งอีก 2 วัน

เมื่อเราเริ่มสอบจะมีโจทย์และคู่มือการสอบ และ format ในการทำ Report เบื้องต้นให้เราเข้าไป Download ซึ่งโจทย์จะบอกเพียงแค่ภาพกว้างๆ ไม่ได้บอกรายละเอียดในเชิงลึก โดยการเข้าไปทำ Lab เราจะต้อง Access ผ่าน VPN โดยโจทย์จะเป็นในลักษณะของการทำ Investigation ที่ค่อนข้างจะ Real-World ทำให้มั่นใจได้เลยว่าคนที่ผ่าน Certification ตัวนี้สามารถทำ Investigation ในเคสจริงๆได้เลย

ซึ่งความยากของข้อสอบนี้คือเราจะไม่มีทางรู้ได้เลยว่าสิ่งที่เราเจอนั้นมันถูกต้องและครบถ้วนหรือไม่ เนื่องจากลักษณะของโจทย์จะเป็นการถามกว้างๆทำให้ไม่มี Check-Point หรือ Checklist ในการตรวจสอบเลย

โดยหากเราสอบไม่ผ่านในรอบแรกจะมี Feedback จากทาง Reviewer มาแนะนำเพิ่มเติม ซึ่งเราสามารถสอบแก้ตัวแบบฟรีๆได้อีกรอบ

Tips for the exam

ก่อนสอบควรลองเล่น Lab พวก Splunk Boss เพื่อซ้อมมือก่อน
ควรลองใช้ Post-Exploit Tools ยอดนิยมในการโจมตีและเก็บ Log เพื่อดูว่าหลังจากเรียกใช้งานแต่ละ Tools มันมี Artifacts, Event หรือ Logs อะไรเกิดขึ้นบ้าง และเราสามารถตรวจสอบได้อย่างไรได้บ้าง
ต้องอ่านและศึกษาให้เข้าใจถึงการทำงานและหลักการโจมตีจริงๆ โดยเฉพาะเทคนิคในส่วนของ Post-Exploitation บน Windows ที่อยู่ใน AD Environment เนื่องจากตอนที่ทำ Report จะต้องเขียนอธิบายทั้งหลักการตรวจจับและหลักการโจมตีอย่างละเอียด
จดและบันทึกภาพทุกอย่างที่เจอ โดยตอนจดแนะนำให้แยกเครื่องจะได้ไม่สับสน เพราะข้อมูลค่อนข้างเยอะ และให้จดเรียงไว้เป็น Timeline เพื่อจะได้เห็นภาพการโจมตีของแต่ละเครื่องและเพื่อให้ง่ายต่อการทำ Report ซึ่งโดยส่วนตัวผมใช้ Onenote ในการจดข้อมูล
นอกจากเนื้อหาหลักควรเรียนรู้เรื่องของการวิเคราะห์ Malware เบื้องต้นด้วย เนื่องจากในระหว่างการทำ Investigation จะเจอ Malware ที่ต้องวิเคราะห์เพื่อ Identify ให้ได้ว่า Malware ตัวใด, ใช้ทำอะไร มี Domain/IP Address ที่เป็น C2 Server หรือไม่
เนื่องจากโจทย์ไม่ได้มีการตั้งคำถามที่เฉพาะเจาะจง ดังนั้นเราจะต้องทำการเรียบเรียง Timeline และตรวจสอบเองว่าสิ่งที่เราเจอนั้นครบทุก Attack Phase และสามารถร้อยเรียงเหตุการณ์ต่างๆได้ครบแล้วหรือยัง
หนึ่งในการตรวจสอบความผิดปกติบน Endpoint คือดูในเรื่องของ Process ที่ผิดปกติไม่ว่าจะเป็นในเรื่องของ Process Tree, Process Path, Process Name ซึ่งสามารถดู Poster ของ SANS เป็น Guideline ได้
ในเรื่องของการ Lateral Movement ก็เป็นอีกเรื่องหนึ่งซึ่งสำคัญเช่นกัน ซึ่งสามารถดู Poster ของ SANS และ Document ของ JPCert เป็น Guideline ได้
หากมีส่วนไหนที่เราคิดว่าเป็นความผิดปกติแต่เราไม่สามารถเชื่อมโยงเป็น Timeline ได้ให้ใส่ไปใน Report ก่อนเพราะถือว่าเป็นความผิดปกติที่เราพบ
พยายาม Investigate ให้เป็น Backward และ Forward ไปตามลำดับเหตุการณ์ยกตัวอย่างเช่นหากเริ่มต้นเราไปเจอ PowerShell ที่รันคำสั่งอันตรายบนเครื่องเราควรตรวจสอบย้อนหลัง (Backward) ไปว่ามันเข้ามาเรียกใช้งาน PowerShell บนเครื่องได้อย่างไร และตรวจสอบเหตุการณ์ถัดไป (Forward) ว่าหลังจากที่เรียก PowerShell แล้วได้ทำอะไรต่อหรือไม่

Conclusion

eCIR ถือว่าเป็น Certificate ที่เหมาะสำหรับ Incident Responder ที่ต้องการเริ่มต้นที่จะทำ Investigate ทางด้าน Cyber Attack อย่างจริงจัง เพราะเป็น Hand-on Certificate ที่จะต้องมีความเข้าใจพื้นฐานและเทคนิคการโจมตีต่างๆ รวมถึงวิธีการตรวจจับและตรวจสอบการโจมตี ซึ่งโดยส่วนตัวค่อนข้างชอบ Exam ของ Cert ตัวนี้มาก เพราะมีความใกล้เคียงกับการโจมตีจริงๆที่พบทำให้เราสามารถนำไปปรับใช้ในการทำงานได้จริงเลย