درباره‌ی این دوره

PowerShell‌ نخستین بار در سال ۲۰۰۶ توسط شرکت مایکروسافت و با هدف ایجاد یک Framework اسکریپت‌نویسی برای خودکارسازی دستورات و پیکربندی‌ها در زیرساخت‌های مبتنی بر ویندوز ارایه شد. در سال‌های بعد با ارایه‌ی نسخه‌های جدیدتر، PowerShell‌ به یک زبان اسکریپت‌نویسی قدرتمند تبدیل شد. هم‌اکنون نسخه ۷.۰ نیز ارایه شده و علاوه بر ویندوز می‌توان اسکریپت‌های PowerShell‌ را در سیستم‌عامل‌های مبتنی بر لینوکس نیز اجرا کرد. در دوره‌ی «PowerShell برای هکرها» به  آموزش بهره‌برداری از این زبان برای ارزیابی امنیت سایبری در تیم‌های قرمز پرداخته شده است.

PowerShell‌ امکان اجرای دستورات در هر سطح و همچنین امکان دسترسی کامل به COM و WMI را برای کاربران خود فراهم می‌کند. به عبارت دیگر PowerShell‌ امکان مدیریت کامل سیستم‌عامل را به شما می‌دهد. همچنین با استفاده از آن شما می‌توانید به راحتی به مواردی مانند داده‌های ذخیره شده، رجیستری، گواهی‌نامه‌ها، File-System و بسیاری از موارد دیگر دسترسی داشته باشید.  به دلیل وجود این ویژگی‌ها، PowerShell‌ در سال‌های اخیر به شدت مورد توجه متخصصین امنیت سایبری و البته مهاجمین سایبری قرار گرفته است. بنابر گزارش شرکت Carbon Black در بیش از یک سوم از رخدادهای سایبری شناسایی شده در سال ۲۰۱۷، مهاجمین به نوعی از PowerShell استفاده کرده‌اند. به عنوان مثال، یکی از کاربردهای متداول PowerShell برای مهاجمین، پیاده‌سازی بدافزارهای File-Less می‌باشد. به‌گونه‌ای که بدافزار بدون هیچ فایل Binary‌ در سیستم‌عامل قربانی اجرا می‌شود و این امر چالش‌های جدی برای آنتی‌ویروس‌ها ایجاد کرده است.

آشنایی با روش‌های مورد استفاده‌ی مهاجمین در PowerShell می‌تواند برای کارشناسان ارزیابی امنیت (مانند تست نفوذ و خدمات تیم قرمز) بسیار مفید باشد، زیرا با به‌کارگیری آن می‌توانند آسیب‌پذیری‌های زیرساخت مورد ارزیابی را شناسایی و برطرف کنند.  همچنین کارشناسان امنیت سازمان‌ها، در صورت آشنا بودن با این روش‌ها می‌توانند زیرساخت سازمان خود را  در برابر این نوع از رخدادهای امنیتی امن‌سازی کرده یا قواعدی را به منظور شناسایی مهاجمین احتمالی در زیرساخت امنیت سایبری سازمان خود، طراحی و پیاده‌سازی کنند.

در دوره‌ی آنلاین «PowerShell برای هکرها»، ابتدا به آموزش مبانی اسکریپت‌نویسی در PowerShell و پس از آن به کاربردهای PowerShell در بهره‌برداری مهاجمین از WMI، Active Directory، Windows API و Windows NTDLL پرداخته می‌شود. در پایان دوره نیز یک چالش عملی با توجه به موارد آموزشی، به شرکت کنندگان ارایه خواهد شد تا در پایان دوره، تجربه‌ی عملی کار با PowerShell را نیز تا حدی کسب کرده باشند.

جایگاه این دوره در مسیرهای آموزشی آکادمی راوین: اینجا و اینجا

مدت زمان دوره

مدت زمان دوره‌ی «PowerShell برای هکرها» ۳۰ ساعت است که به صورت کلاس‌های ۳ ساعته آنلاین و در طی ۱۰ جلسه تدریس خواهد شد. کلاس‌های این دوره از روز شنبه مورخ ۹۹/۱۱/۱۸ شروع و در روزهای زوج از ساعت ۵ تا ۸ برگزار می‌شود. شرکت‌کنندگان در طول این دوره به صورت نظری و عملی، مفاهیم PowerShell و کاربردهای آن در تست نفوذ و خدمات تیم قرمز در زیرساخت‌های مبتنی بر ویندوز را فرا خواهند گرفت.

این دوره به چه افرادی توصیه می‌شود؟

• کارشناسان ارزیابی امنیت/تست نفوذ/تیم قرمز
• کارشناسان تیم آبی (پاسخ به رخدادها، امن‌سازی و سایر موارد دفاعی)
• کارشناسان شکار تهدید (Threat Hunting)
• مدیران شبکه‌های مبتنی بر ویندوز
• مشاورین امنیت سایبری

برای شرکت در این دوره چه دانش‌هایی باید داشته باشم؟

• آشنایی با مفاهیم سرورهای ویندوز و Active Directory
• آشنایی با مفاهیم ابتدایی شبکه و پروتکل‌های پرکاربرد
• آشنایی کلی با حملات و تهدیدات سایبری
• حداقل یک‌سال تجربه‌ی کاری در زمینه‌های مرتبط

سرفصل‌های این دوره

Chapter 1:   Basics of PowerShell

1.1         Introduction to PowerShell

1.2         PowerShell Scripting Basics

1.3         PowerShell Remoting

1.4        PowerShell Less

Chapter 2:   Windows Management Instrumentation (WMI)

2.1        WMI Basics and Introduction

2.2        WQL

2.3        Instance Queries

2.4        Meta Queries

2.5        Event Queries

2.6        Permanent Eventing

2.7        Persistent with WMI

Chapter 3:   Active Directory and Kerberos

3.1        Overview of Active Directory

3.2        Overview of Kerberos

3.3        Active Directory Objects

3.4        Working with GPO

3.5        Domain Trusts

3.6        Information Gathering and Exfiltration

3.7        Active Directory ACLs

3.8        DACLs

3.9        ACE

3.10       Exploiting ACL and DACLs

3.11       Kerberos Based Attacks

Chapter 4:   Windows API in PowerShell

4.1        C# in PowerShell

4.2        Reflection for Assembly and DLL

4.3        Load .net in Memory

4.4        WIN32 API Programming in PowerShell

4.5        Token and Memory Manipulations

4.6        Hooking in PowerShell

4.7        Privilege Escalation

4.8        Inject all the Things

4.9        Hard-link and Symlink Attacks

Chapter 5:   Windows NTDLL API Programming in PowerShell

5.1        PowerShell Prevention and Detection – Bypasses and Defenses

5.2        AMSI Implementation and Attack Strategies

5.3        Scriptblock Auto-Logging Definition and Attack Strategies

5.4        COM Hijacking

5.5        Signing Code with PowerShell and Abuse it

5.6        Scriptblock Logging Definition and Bypass Methodology

5.7        PowerShell Logging and Abuse Event Logging

5.8        Sandbox and EDR Detection

5.9        MITRE Framework

Chapter 6:   Challenge Day