Windows Persistence Techniques
دربارهی دوره
مهاجمین از روشهای مختلفی برای نفوذ به زیرساخت سازمانها بهره میبرند اما این تنها گام اول آنها در یک سناریوی حملهی پیشرفته است. این نفوذگرها برای دستیابی به اهداف نهایی خود، اغلب نیاز دارند تا دسترسی خود به زیرساخت سازمان قربانی را برای مدت مشخصی (کوتاه یا بلند مدت) حفظ کنند. بنابراین یکی از اقدامات مهاجمین پس از نفوذ، پایدارسازی دسترسی خود یا همان Persistence با استفاده از تکنیکهای پیشرفته است به گونهای که از دید متخصصین تیم آبی سازمان پنهان بمانند.
یکی از چالشهای همیشگی سازمانها پس از شناسایی یک نفوذ به زیرساخت خود، توانایی شناسایی Backdoorها و راههای ورودی مختلف احتمالی است که مهاجمین برای بازگشت خود در آینده ایجاد کردهاند. با توجه به موارد ذکر شده، لازم است تا متخصصین تیمهای قرمز به منظور ارزیابی توانمندی امنیت سازمانها در شناسایی و پاسخ به تهدیدات سایبری پیشرفته، با روشهای مختلف پایدارسازی دسترسی آشنا بوده از آن در فرآیندهای ارزیابی خود بهره ببرند. همچنین تیمهای آبی (مانند کارشناسان SOC، شکارچیان تهدیدات سایبری، کارشناسان Forensic، کارشناسان پاسخ به تهدیدات سایبری و غیره ) نیز به منظور افزایش توانایی خود در شناسایی این نوع از تهدیدات، نیاز به آشنایی با جزییات این روشها خواهند داشت.
در این دوره روشهای مختلف پایدارسازی دسترسی در زیرساختهای مبتنی بر سیستمعامل ویندوز، که در حملات تیمهای APT مختلف از آنها استفاده شده و میشود، به صورت عملی و سناریو محور بررسی خواهد شد. شما در این دوره، با انواع روشهای پایدارسازی دسترسی شامل روشهایی که با سطح دسترسی پایین قابل اجرا هستند، روشهایی که اجرای آنها به سطح دسترسی Admin نیاز دارد و در نهایت انواع روشهای پایدارسازی دسترسی در Domain Controllerسازمان آشنا خواهید شد.
مدت زمان دوره
مدت زمان این دوره ۱۸ ساعت است که به صورت کمپ آنلاین طی سه جلسهی ۶ ساعته برگزار خواهد شد. روزهای برگزاری دوره، ۹، ۱۰ و ۱۱ فروردین ۱۴۰۱، از ساعت ۱۰ تا ۱۶ خواهد بود.
تخفیف ثبتنام زودهنگام
۲۰ درصد تخفیف برای ثبتنام تا ۱۲ اسفند و ۱۰ درصد تخفیف برای ثبتنام تا ۲۲ اسفند برای حضور در این دوره، در نظر گرفته شده است.
گواهینامهی دوره
برای دریافت گواهینامهی این دوره، ده روز پس از جلسهی پایانی، آزمونی برگزار خواهد شد که با قبولی در این آزمون، امکان صدور گواهینامهی دوره برای شما را خواهیم داشت. حضور در آزمون پایانی و دریافت گواهینامهی دوره برای شرکتکنندگان اختیاری است.
هزینهی شرکت در آزمون پایانی: ۳۰ هزارتومان
هزینهی چاپ و صدور گواهینامهی دوره: ۵۰ هزارتومان
این دوره به چه افرادی توصیه میشود؟
این دوره برای کارشناسان امنیت با حداقل ۲ سال تجربهی کاری در زمینهی امنیت سایبری مناسب است:
- کارشناسان تست نفوذ/تیم قرمز
- تحلیلگران و مهندسین SOC
- کارشناسان فعال در زمینه Forensic Investigation
- کارشناسان پاسخگویی به تهدیدات سایبری (CSIRT)
برای حضور در این دوره چه دانشهایی باید داشته باشم؟
- آشنایی با ساختار سیستمعامل ویندوز
- آشنایی با ساختار و مفاهیم Active Directory
- آشنایی اولیه با زبانهای C++ ،C و PowerShell
سرفصلهای دوره
Chapter 1: Intro
1.1 Introduction to Windows Persistence
Chapter 2: If You Don’t Have Admin Privileges
2.1 Startup
2.2 PS Profile
2.3 Registry
2.4 DLL Proxy
2.5 COM Objects
2.6 Logon Scripts
2.7 Screensavers
2.8 Scheduled Tasks
Chapter 3: If You Have Admin Privileges
3.1 Print Spooler
3.2 AMSI
3.3 DLL Hijacking
3.4 Control Panel
3.5 Bits Jobs
3.6 WMI Event Subscription
3.7 Application Shims
3.8 Services
3.9 Winlogon
3.10 LSA
3.11 AppCert DLLs
3.12 AppInit DLLs
3.13 Netsh Helper DLLs
3.14 Port Monitors
3.15 Elevated Scheduled Tasks
Chapter 4: Domain Persistence
4.1 Machine Accounts
4.2 Ticket Manipulations
4.3 SamAccountName Spoofing
4.4 AdminSDHolder
ویژگی های دوره
- درس 4
- آزمونها 1
- مدت زمان 18 ساعت
- سطح مهارت پیشرفته
- زبان فارسی و انگلیسی
- دانشجویان 18
- گواهی نامه بله
- ارزیابی بله
2 نظر
سلام خدمت شما
یه سوال داشتم
شما تمام تکنیک هایی که بررسی میکنید با محوریت گریز (evasion) از مکانیزما امنیتی هست ؟ یعنی توی هر ویدیو تست میگیرید و نشون میدید که واقعا مکانیزما امنیتی نتونستن بشناسنشون ؟ یا فقط برای یه سری تکنیک خاص این کار هارو میکنید؟
تشکر
سلام علی عزیز. هر تکنیکی که قابلیت evasion داشته باشه و بتونه SIEM و SOC و سایر مکانیزمهای امنیتی رو دور بزنه، توی کلاس تست و بررسی میشه و راجع به اون توضیح داده میشه.