AV/EDR Bypass
AV/EDR Bypass
پس از پرداخت اطلاعات به ایمیل شما ارسال خواهد شد
- پیشرفته
- مسیر قرمز
- ۶ درس
دربارهی این دوره
در سالهای اخیر شرکتهای امنیتی، بخش ویژهای از تمرکز و تحقیقات خود را به افزایش قابلیتهای زیرساخت سازمانها در شناسایی تحرکات مهاجمان، اختصاص دادهاند. در همین راستا محصولات و راهکارهای پیشرفتهی متعددی طی این سالها به بازار عرضه شده است. در بین این محصولات، بسیاری از سازمانها به آنتیویروسها و EDRها اعتماد ویژهای در شناسایی تهدیدهای سایبری دارند. اما فارغ از کیفیت این محصولات یا برند آنها، حقیقت این است که هیچ محصول امنیتی در دنیا توانایی شناسایی تمام تهدیدهای سایبری را ندارد.
با توجه به موارد ذکرشده، مهاجمان نیز برای پیشبرد اهداف خود، همراستا با شرکتهای امنیتی درحال تحقیق و توسعه بوده و هر روز روشهای جدیدی را برای پنهان کردن فعالیتهای خود یا دور زدن راهکارهای شناسایی پیشرفتهی ارائهشده توسط این شرکتها، ابداع میکنند. به همین دلیل متخصصان تیم قرمز هم برای شبیهسازی رفتار تیمهای APT بهمنظور ارزیابی میزان آمادگی دفاعی یک سازمان در برابر حملههای پیشرفته، باید توانایی دور زدن راهکارهای شناسایی موجود در آن سازمان را داشته باشند.
در این کمپ شما ضمن آشنایی با شیوهی عملکرد و معماری آنتیویروسها و EDRها، برخی روشهای دور زدن (Bypass) این محصولات را خواهید آموخت. بهطور دقیقتر شما با گذراندن این کمپ مبانی معماری آنتیویروس و EDR و شیوهی عملکرد آنها، دور زدن این محصولات در مراحل مختلف Red Teaming به شکل کاربردی و روشهای دور زدن راهکار AMSI در سیستمعامل ویندوز و در نهایت مباحثی، مانند credential dumping و کاربرد آنها برای توسعه ابزارهای مختلف را خواهید آموخت.
مدتزمان این دوره ۸ ساعت است.
این دوره به چه افرادی توصیه میشود؟
- کارشناسان تست نفوذ و تیم قرمز
- تحلیلگران و مهندسان SOC
- کارشناسان فعال در زمینهی Forensic Investigation
- کارشناسان پاسخگویی به تهدیدهای سایبری (CSIRT) و شکار تهدیدهای سایبری
- مشاوران امنیت سایبری
برای حضور در این دوره چه دانشهایی باید داشته باشم؟
- آشنایی با ساختار سیستمعامل ویندوز
- آشنایی با مفاهیم امنیت سایبری
- آشنایی اولیه با زبانهای C++ ،C و PowerShell
- حداقل دو سال تجربهی کاری در زمینهی تست نفوذ یا تیم قرمز
سرفصلهای دوره
-
Antivirus/EDR architecture
-
Type of Kernel Callback
-
Bypass AV/EDR for credential extract
-
Bypass AV/EDR for Malware Execute
-
Bypass AV/EDR for Lateral movement
-
Bypass AMSI