Modul 1: Grundlagen der Ransomware-Bedrohungslandschaft
Evolution von Ransomware: Von einfachen Verschlüsselungstrojanern zu komplexen, mehrstufigen Erpressungskampagnen (Double/Triple Extortion), analysiert anhand von Open-Source-Threat-Intelligence-Berichten.
Anatomie eines Ransomware-Angriffs: Detaillierte Untersuchung der Kill Chain, von der initialen Kompromittierung über Lateral Movement bis zur Datenexfiltration und Verschlüsselung, visualisiert in browserbasierten Dashboards.
Rolle der KI in der Ransomware-Abwehr: Paradigmenwechsel von signaturbasierter Erkennung zu verhaltensbasierter Analyse mittels Machine Learning, demonstriert an frei zugänglichen Datensätzen.
Open-Source-Tools für die Ransomware-Analyse: Einführung in kostenfreie Plattformen zur Sammlung und Auswertung von Telemetriedaten, wie z.B. Elastic Security und Wazuh.
Online Hands-on Lab: Aufbau einer cloudbasierten, kostenfreien Analyseumgebung. Nutzung von Google Colab zur Auswertung von anonymisierten Ransomware-Logs und Visualisierung von Angriffsmustern mit Python-Bibliotheken wie Pandas und Matplotlib.
Modul 2: KI-gestützte Erkennung von Initial Access
Phishing- und Social-Engineering-Erkennung: Einsatz von Natural Language Processing (NLP) zur Identifikation bösartiger E-Mails und URLs, trainiert mit quelloffenen Sprachmodellen.
Analyse von Exploits und Schwachstellen: Automatisierte Erkennung von Ausnutzungsversuchen bekannter CVEs in Web-Logs mittels Machine-Learning-Algorithmen in kostenfreien Jupyter-Notebooks.
Erkennung kompromittierter Zugangsdaten: Identifikation von anomaler Authentifizierung und Brute-Force-Angriffen durch verhaltensbasierte Analyse (UEBA) unter Nutzung von Open-Source-Datensätzen.
Überwachung von Remote-Access-Tools (RATs): KI-gestützte Identifikation von unautorisierten Fernzugriffen und Command-and-Control (C2) Kommunikation anhand von Netzwerk-Telemetrie.
Online Hands-on Lab: Entwicklung eines NLP-Modells zur Phishing-Erkennung mit Hugging Face Transformers im Browser. Training des Modells auf einem frei verfügbaren Datensatz bösartiger E-Mails zur automatisierten Klassifizierung.
Modul 3: Verhaltensbasierte Erkennung von Lateral Movement
Graphenbasierte Analyse von Netzwerkverkehr: Identifikation von anomaler interner Kommunikation und Lateral Movement durch KI-gestützte Graphenanalyse in browserbasierten Umgebungen.
Erkennung von Privilege Escalation: Überwachung von Active Directory-Logs und Endpunkt-Telemetrie zur Aufdeckung unautorisierter Rechteausweitung mittels Open-Source-Analytics-Tools.
Analyse von Living-off-the-Land (LotL) Techniken: KI-gestützte Auswertung von Prozessausführungsbäumen und PowerShell-Befehlen zur Erkennung missbräuchlicher Nutzung legitimer Systemwerkzeuge.
Zeitreihenanalyse für anomales Verhalten: Erkennung von Abweichungen in Zugriffsmustern und administrativen Aktivitäten durch Python-basierte Datenanalyse im Browser.
Online Hands-on Lab: Analyse von simulierten Lateral-Movement-Aktivitäten anhand von Open-Source-Zeek-Logs. Implementierung eines Isolation-Forest-Modells in Python (Scikit-learn) via Google Colab zur Anomalieerkennung.
Modul 4: KI-gestützte Erkennung von Datenexfiltration
Identifikation anomaler Datenabflüsse: Überwachung von Netzwerk-Traffic und Cloud-Speicher-Zugriffen zur Erkennung ungewöhnlicher Datenübertragungen mittels Machine Learning.
Analyse von DNS-Tunneling und verdeckten Kanälen: KI-gestützte Auswertung von DNS-Logs zur Aufdeckung von Command-and-Control-Kommunikation und schleichender Datenexfiltration.
Erkennung von Datenkomprimierung und -verschlüsselung: Überwachung von Dateisystemaktivitäten auf anomale Archivierungs- und Verschlüsselungsprozesse vor der eigentlichen Exfiltration.
Risikoscoring für Datenzugriffe: Entwicklung von dynamischen Schwellenwerten zur Identifikation von Insider-Bedrohungen und kompromittierten Konten, programmiert in kostenfreien Jupyter-Umgebungen.
Online Hands-on Lab: Konfiguration von ML-Jobs in einer Open-Source-Elastic-Umgebung zur Aufdeckung anomaler Datenexfiltration. Analyse von Netzwerk-Flow-Daten zur Identifikation versteckter Übertragungskanäle.
Modul 5: Automatisierte Analyse von Ransomware-Binaries
Grenzen der klassischen Malware-Analyse: Obfuskation, Polymorphismus und die Notwendigkeit KI-gestützter Ansätze zur Erkennung moderner Ransomware-Varianten.
Repräsentation von Binärdateien: Extraktion von PE-Headern und Umwandlung von Binaries in maschinenlesbare Formate oder Graustufenbilder mittels quelloffener Python-Skripte.
Deep Learning zur Ransomware-Klassifizierung: Einsatz von Convolutional Neural Networks (CNNs) zur Identifikation von Ransomware-Familien, trainiert auf kostenfreien GPU-Instanzen (z.B. Colab).
Dynamische Analyse und Verhaltens-Clustering: KI-gestützte Auswertung von Sandbox-Reports aus öffentlichen Malware-Datenbanken zur Erkennung von Verschlüsselungsroutinen.
Online Hands-on Lab: Nutzung einer cloudbasierten, kostenfreien Cuckoo Sandbox-Instanz. Training eines PyTorch-basierten CNN-Modells im Browser zur Klassifizierung von Ransomware-Samples anhand von Image-basierten Binärrepräsentationen.
Modul 6: KI-gestützte Erkennung von Verschlüsselungsaktivitäten
Überwachung von Dateisystem-Anomalien: Echtzeit-Erkennung von massenhaften Dateiänderungen, Umbenennungen und Löschungen durch verhaltensbasierte Analyse auf dem Endpunkt.
Analyse von Entropie-Änderungen: KI-gestützte Messung der Dateientropie zur Identifikation von Verschlüsselungsprozessen, demonstriert an quelloffenen EDR-Frameworks.
Erkennung von Ransomware-spezifischen API-Calls: Überwachung von Windows-API-Aufrufen (z.B. CryptEncrypt) zur frühzeitigen Erkennung von Verschlüsselungsroutinen mittels Machine Learning.
Automatisierte Response-Aktionen: KI-gesteuerte Isolierung von Hosts und Prozess-Terminierung bei Erkennung von Verschlüsselungsaktivitäten, simuliert in sicheren, browserbasierten Containern.
Online Hands-on Lab: Konfiguration von Open-Source-Wazuh-Agenten in einer kostenfreien Cloud-Instanz. Training eines Random-Forest-Klassifikators zur Erkennung von Ransomware-Verhalten anhand frei verfügbarer Sysmon-Daten.
Modul 7: Threat Intelligence und NLP für Ransomware-Abwehr
Automatisierte Auswertung von Threat Intelligence: Herausforderungen bei der Analyse unstrukturierter Texte aus frei zugänglichen Blogs, Foren und Darknet-Quellen.
Named Entity Recognition (NER) für Ransomware: Training von NLP-Modellen zur Extraktion von Indicators of Compromise (IoCs) und TTPs unter Nutzung quelloffener Sprachmodelle.
Überwachung von Ransomware-Leak-Sites: Automatisierte Analyse von Erpresser-Websites zur proaktiven Bedrohungsaufklärung und Identifikation neuer Ransomware-Gruppierungen.
Automatisierte IoC-Extraktion und -Verteilung: Generierung von STIX-Formaten aus Fließtexten zur Einspeisung in kostenfreie Threat Intelligence Plattformen.
Online Hands-on Lab: Entwicklung eines NLP-Skripts mit kostenfreien Hugging Face Transformers im Browser. Automatisierte Auswertung öffentlicher Ransomware-Reports und Einspeisung der IoCs in eine cloudbasierte Open-Source-MISP-Instanz.
Modul 8: Automatisierte Incident Response und Recovery
Orchestrierung von KI-Modellen im SOC: Integration von trainierten ML-Modellen in Open-Source Security Operations Center (SOC) Architekturen zur Ransomware-Abwehr.
KI-gestützte Alert Triage: Automatisierte Priorisierung von Sicherheitswarnungen zur schnellen Identifikation kritischer Ransomware-Vorfälle, umgesetzt mit kostenfreien SOAR-Tools.
Automatisierte Containment-Strategien: Entwicklung von Playbooks zur netzwerkweiten Isolierung infizierter Systeme und Unterbindung von Lateral Movement, konfiguriert in Open-Source-Plattformen.
KI-unterstützte Recovery-Planung: Analyse von Bac…