درباره‌ی دوره

با پیچیده‌تر شدن تهدیدات سایبری و به طور خاص تهدیدات APT در سال‌های اخیر، راهکارها و تخصص‌های دفاعی جدیدی در حال شکل‌گیری و پررنگ شدن هستند تا بتوان با این تهدیدات مدرن به شکل موثرتری مقابله کرد. یکی از مهم‌ترین این موارد «شکار تهدیدات سایبری» است. شکارچیان تهدیدات سایبری، در واقع متخصص‌های امنیتی هستند که به صورت فعال و مداوم به دنبال شناسایی، ایزوله و خنثی‌سازی تهدیدات پیشرفته ای هستند که از دید تجهیزات و راهکارهای تجاری امنیت سازمان دور مانده‌اند.

یک شکارچی تهدیدات سایبری علاوه بر دیدگاه درست امنیتی، به تکنیک‌ها و ابزارهای مختلفی برای شناسایی تهدیدات موجود در زیرساخت سازمان نیاز دارند. یکی از پرکاربردترین ابزارهای مورد استفاده در شکار تهدیدات سایبری در زیرساخت‌های مایکروسافتی، Sysmon نام دارد که در این دوره به معرفی و آموزش بهره‌برداری از آن پرداخته خواهد شد. Sysmon بخشی از مجموعه ابزارهای Sysinternals ویندوز است که به صورت سرویس یا درایور بر روی سیستم‌عامل نصب می‌شود.

با استفاده از  این ابزار می‌توان وقایع مختلفی در خصوص پروسس‌ها، ارتباطات شبکه‌ای، وقایع سیستمی، تغییرات در فایل‌ها و بسیاری موارد دیگر را با جزییات کامل ثبت و به منظور تحلیل‌های بیشتر به سامانه‌ی SIEM ارسال کرد. با حضور در این کارگاه یک روزه ضمن آشنایی با Sysmon، پیکربندی آن، تعداد زیادی رول‌های شکار تهدیدات سایبری و بسیاری از موارد دیگر را به صورت عملی خواهید آموخت. همچنین چندین سناریوی حملات سایبری در دنیای واقعی و شیوه‌ی شکار آن‌ها را در کنار هم تحلیل خواهیم کرد.

مدت زمان دوره

این دوره به چه افرادی توصیه می‌شود؟

• کارشناسان شکار تهدیدات سایبری
• افراد علاقه‌مند به امنیت شبکه‌های مبتنی بر ویندوز
• مشاورین امنیت سایبری
• کارشناسان امنیت سایبری در سازمان‌ها و بخش SOC

برای حضور در این دوره چه دانش‌هایی باید داشته باشم؟

برای حضور در این کارگاه نیاز است تا با زیرساخت‌های مبتنی بر مایکروسافت و سیستم‌عامل ویندوز آشنایی داشته باشید. مهم‌ترین پیش‌نیازهای دانشی و تجربی برای حضور در این دوره به شرح زیر است:

• آشنایی با سیستم‌عامل ویندوز
• آشنایی با مفاهیم حملات سایبری در زیرساخت شبکه
• آشنایی با مفاهیم شبکه و پروتکل‌ها

سرفصل‌های دوره

Chapter 1: Sysmon Configuration

Chapter 2: Sysmon Event IDs

Chapter 3: How Attackers Bypass Sysmon

3.1 Hooking API Calls

3.2 Sysmon Driver

Chapter 4: Sysmon Integration with SIEM

Chapter 5: How to Hunt Real World APT Techniques with Sysmon

5.1 Webshell Detection

5.2 Hunting Lateral Movement Techniques

5.2.1 DCOM

5.2.2 ATExec

5.2.3 WMI

5.3 Hunting Persistent Techniques

5.3.1 Exchange Transport Agent

5.3.2 COM Objects

5.3.3 Accessibility Features

5.3.4 Registry

5.3.5 Other Techniques

5.4 Credential Dump Hunting

5.4.1 PPLDump

5.4.2 Inject SSP

5.4.3 LSASS Dump

5.4.4 Other Techniques

5.5 More Hunting

5.5.1 bitsproxy.dll

5.5.2 qmgrprxy.dll

5.5.3 Microsoft.BackgroundIntelligentTransfer.Management.Interop.dll for BITS Activity

5.6 APT 34 Malware Scenario

5.6.1 Winword – > vbe -> certreq.exe (download lolbin) -> msiexec -> python bunch of encoded script-> python backdoor + infostealer (persist via scheduled task)

5.7 Process Injection Hunting

5.8 Loading and Execute Command with System.automation.dll

5.9 Detection for Stealthy XSL Scripts (vb/js) Execution via wmic Using APIs

5.10 Remote Command Execution with ComObject schtasks

Chapter 6: Develop Hunting Rules