Red Team Operation
دربارهی دوره
یک عملیات تیم قرمز در واقع شامل اجرای حملات پیچیده و چندوجهی شبیهسازی شده و به چالش کشیدن توانایی سازمان در پاسخدهی به این تهدیدات است. این روش به طور خاص برای رفع نگرانیهای سازمانها طراحی شده تا بینش مورد نیاز امنیتی را در آنها ایجاد کرده و به این سوال همیشگی پاسخ دهد که «آیا ما به اندازه ی کافی ایمن هستیم؟».به عبارت دیگر عملیات تیم قرمز یک حملهی سایبری آگاهانه است که به صورت برنامهریزی شده و با استفاده از فرآیندها، تکنیکها و تاکتیکهایی که از تجربیات هکرهای کلاه سیاه و تیمهای APT جمعآوری شده، اجرا میشود. تیم قرمز با یک نگاه جامع و مبتنی بر دنیای واقعی، مراحل یک حملهی سایبری را که به واسطهی پیوند خطاهای فردی و سیستمی رخ میدهد برای سازمانها ترسیم خواهد کرد.
در این دوره یک عملیات کامل تیم قرمز از مرحلهی شناسایی اولیه تا مرحلهی استخراج دادهی تعریف شده در عملیات، از زیرساخت سازمان تحت ارزیابی، آموزش داده میشود. در واقع با گذراندن این دوره، فلسفهی وجودی تیم قرمز، شناسایی هدف و جمعآوری اطلاعات، تکنیکهای اخذ دسترسی اولیه، حمله به سرور Exchange، ارسال بدافزار به سازمان، فرآیند کامل Post Exploit، حمله به Active Directory، حمله به MSSQL Server، حمله به WSUS، مقاومسازی دسترسی و بسیاری از موارد دیگر را خواهید آموخت.
برای اولین بار است که در ایران یک دورهی «عملیات تیم قرمز» به صورت فرآیند محور و با آموزش عملی برگزار میشود.
مدت زمان دوره
مدت زمان این دوره ۴۲ ساعت است و به صورت کلاسهای ۳ ساعته، طی ۱۴ جلسه به صورت آنلاین از ساعت ۱۷ تا ۲۰ روزهای شنبه و چهارشنبه برگزار میشود. آغاز جلسات این دوره از روز چهارشنبه مورخ ۶ مرداد ۱۴۰۰ خواهد بود. به دلیل تکمیل ظرفیت ۳۵ نفره دورهی مرداد و درخواستهای زیاد افرادی که از ثبتنام جا موندن، تصمیم به برگزاری مجدد این دوره از روز شنبه مورخ ۲۹ آبان ۱۴۰۰ گرفته شده که هماکنون امکان ثبتنام برای دورهی آبان فراهم شده است.
این دوره به چه افرادی توصیه میشود؟
- کارشناسان ارزیابی امنیت/تست نفوذ/تیم قرمز
- متخصصین فعال در زمینهی Bug Bounty
- مشاورین امنیت سایبری
- متخصصین امنیت زیرساخت و مراکز داده
برای حضور در این دوره چه دانشهایی باید داشته باشم؟
- تسلط بر مفاهیم امنیت سایبری
- تسلط بر پروتکلهای پرکاربرد TCP/IP
- تسلط بر مفاهیم زیرساخت شبکه
- آشنایی با حداقل یکی از زبانهای اسکریپتنویسی پرکاربرد مانند پایتون و پاورشل
- حداقل دو سال تجربهی کاری در زمینهی امنیت سایبری و تست نفوذ
سرفصلهای دوره
Chapter 1: Red Team Philosophy
1.1 Types of Security Assessments
1.2 Red Teaming Overview
1.3 Red Team vs. Blue Team
1.4 Red Team Assessment Phases
Chapter 2: External Reconnaissance
2.1 Passive Intelligence Gathering Overview
2.2 Online Services Recon
2.3 Gathering Clients Data
2.4 OSINT
2.5 Analyzing Initial Data
Chapter 3: Initial Compromise
3.1 Password Spraying
3.2 Exploiting
3.3 Social Engineering
3.4 Phishing
3.5 NTLM and SMB Relay
Chapter 4: Attacking Exchange
4.1 Exchange Overview
4.2 Protocols
4.3 Interesting Functions/Components
4.3.1 Autodiscover
4.3.2 Global Address List
4.3.3 Outlook Rules
4.3.4 Outlook Forms
4.4 Recon & OWA Discovery
4.5 Naming Schema Fuzzing
4.6 Username Enumeration (Timing attack)
4.7 Password Spraying
4.8 GAL Extraction
4.9 Bypassing 2 Factor Authentication
4.10 Identifying Sensitive Data inside Mailboxes Using PowerShell
4.11 Search mailboxes for credentials/sensitive data
4.12 Outlook Rules
4.13 Attacking from the inside
4.13.1 Misusing Exchange ActiveSync (EAS) to access internal file shares
Chapter 5: Payload Delivery
5.1 Email Delivery Fundamentals
5.2 Staged vs stateless payloads
5.3 Fileless malware
5.4 Covert Channels
5.5 Macro Development
5.6 Defensive evasion
5.6.1 AMSI bypasses
5.6.2 Application whitelisting bypasses
5.6.3 VBA stomping
5.6.4 HTML smuggling
5.6.5 PPID spoofing
5.6.6 Argument confusion
5.6.7 Execution decoupling
5.6.8 blockdlls
5.6.9 EDR Evasion
5.7 Abusing Other Office Capabilities
5.8 Other Exploitable File Types
5.8.1 CHM Files
5.8.2 HTA Files
5.8.3 LNK Files
5.8.4 IQY Files
5.8.5 MSG Files
5.8.6 RTF Files
Chapter 6: Post Exploit Activities
6.1 Internal Recon
6.2 Pivoting and Tunneling
6.2.1 Port Forward
6.2.2 Reverse Connection
6.2.3 Socks5 over TCP and UDP
6.2.4 Tunneling Over PIPE Line
6.2.5 Tunneling Over NTLM Negotiation
6.2.6 HTTP and HTTPS Tunneling
6.2.7 DNS Tunneling
6.2.8 ICMP Tunneling
6.2.9 NTP Tunneling
6.3 Man-In-The-Middle (MITM)
6.4 Password Spraying
6.5 Local Privilege Escalation
6.5.1 Local Password, Hash and Ticket Hunting
6.5.2 SMB Listeners
6.5.3 Missing Patches
6.5.4 Service Abuse
6.5.5 Always Install Elevated
6.5.6 UAC Bypasses
6.5.7 Process Injection
6.5.8 Unquoted paths
6.5.9 DLL Hijacking
6.5.10 GetSystem Techinques
6.5.11 Hard Link Attacks
6.5.12 Token Impersonate
6.6 Lateral Movement
6.7 Remote Command Execute
6.7.1 PowerShell Remoting
6.7.2 WMI
6.7.3 WinRM
6.7.4 PsExec
6.7.5 DCOM
6.8 Run PowerShell Scripts without PowerShell
Chapter 7: Attacking Active Directory
7.1 Active Directory Overview
7.1.1 AD Components
7.1.2 LDAP
7.1.3 Kerberos
7.1.4 AD &DNS
7.1.5 AD Trusts
7.2 Enumeration through a Domain Joined Windows Machine
7.2.1 Users and Computers Queries
7.2.2 Active Directory Sites and Services, OU and other Data
7.2.3 Net commands
7.2.4 Enumeration through NetBIOS
7.2.5 Ping IP Ranges
7.2.6 SPN Scanning
7.3 Identifying Users and Computers that Having Admin Rights
7.4 Enumeration through a Non-Domain Joined Windows and Linux Machine
7.5 Traditional AD Attacks
7.6 Kerberos Based Attacks
7.6.1 Golden Ticket
7.6.2 Silver Ticket
7.6.3 Kerberoast
7.6.4 Skeleton key
7.7 NTDS File
7.7.1 Extract Hash and Data from NTDS
7.7.2 sysvol
7.8 Other AD Attacks
7.9 AD Attacking Tools
7.9.1 PowerView
7.9.2 BloodHound
7.10 Privilege Escalation
7.10.1 User Hunting
7.10.2 Delegation issues
7.10.3 DACL and ACEs
7.11 Advanced Cross-Forest Trust Abuse
7.12 Credentials Replay Attacks
Chapter 8: Attacking MSSQL Servers
8.1 MS SQL Server Overview
8.2 Locating & Accessing SQL Servers
8.3 Privilege Escalation in SQL Servers
8.4 Command Execution
8.5 Parsing and Searching for Sensitive Data
Chapter 8: Attacking WSUS
9.1 Windows Update Overview
9.2 WSUS Fundamentals
9.2.1 WSUS Architecture
9.3 Identifying WSUS
9.4 Unencrypted Communications & Malicious Update injection
9.5 Leveraging WSUS Interconnectivity
Chapter 10: Persistence
10.1 Persisting in Client and Server Machines
10.1.1 Startup Folder
10.1.2 Scheduled Task
10.1.3 MOF and WMI Subscriptions
10.1.4 Registry
10.1.5 Services
10.1.6 Driver
10.2 Persisting in Active Directory
10.2.1 DCShadow
10.2.2 WMI
10.2.3 GPO
10.2.4 Domain and Host ACLs
10.2.5 DNS
10.3 Persisting in MS SQL Servers
10.4 Persistent Using Windows Updates and WSUS
ویژگی های دوره
- درس 0
- آزمونها 0
- مدت زمان ۴۲ ساعت
- سطح مهارت خبره
- زبان انگلیسی و فارسی
- دانشجویان 35
- گواهی نامه بله
- ارزیابی بله