Playing With AV & EDR
Playing With AV & EDR
پس از پرداخت اطلاعات به ایمیل شما ارسال خواهد شد
- پیشرفته
- مسیر قرمز
- ۷ درس
دربارهی این دوره
در سالهای اخیر شرکتهای امنیتی بخش ویژهای از تمرکز و تحقیقات خود را به افزایش قابلیتهای زیرساخت سازمانها در شناسایی تحرکات مهاجمین، اختصاص دادهاند. در همین راستا محصولات و راهکارهای پیشرفتهی متعددی طی این سالها به بازار عرضه شده است. در بین این محصولات، بسیاری از سازمانها به آنتیویروسها و EDRها اعتماد ویژهای در شناسایی تهدیدات سایبری دارند. اما فارغ از کیفیت این محصولات یا برند آنها، حقیقت این است که هیچ محصول امنیتی در دنیا توانایی شناسایی تمام تهدیدات سایبری را ندارد.
با توجه به موارد ذکر شده مهاجمین نیز برای پیشبرد اهداف خود، همراستا با شرکتهای امنیتی در حال تحقیق و توسعه بوده و هر روز روشهای جدیدی برای پنهان کردن فعالیتهای خود یا دور زدن راهکارهای شناسایی پیشرفتهی ارایه شده توسط این شرکتها، ابداع میکنند. به همین دلیل متخصصین تیم قرمز هم برای شبیهسازی رفتار تیمهای APT به منظور ارزیابی میزان آمادگی دفاعی یک سازمان در برابر حملات پیشرفته، باید توانایی دور زدن راهکارهای شناسایی موجود در آن سازمان را داشته باشند.
در این دوره شما ضمن آشنایی با شیوهی عملکرد و معماری آنتیویروسها و EDRها، روشهای دور زدن (Bypass) این محصولات را خواهید آموخت. به طور دقیقتر شما با گذراندن این دوره با مبانی Windows Internals، معماری آنتیویروس و EDR و شیوهی عملکرد آنها، دور زدن این محصولات در سطح کاربر و همچنین در سطح هستهی سیستمعامل و در نهایت روشهای دور زدن راهکار AMSI در سیستمعامل ویندوز را خواهید آموخت.
این دوره به چه افرادی توصیه میشود؟
- کارشناسان تست نفوذ/تیم قرمز
- تحلیلگران و مهندسین SOC
- کارشناسان فعال در زمینه Forensic Investigation
- کارشناسان پاسخگویی به تهدیدات سایبری (CSIRT) و شکار تهدیدات سایبری
- مشاورین امنیت سایبری
برای حضور در این دوره چه دانشهایی باید داشته باشم؟
- آشنایی با ساختار سیستمعامل ویندوز
- آشنایی با مفاهیم امنیت سایبری
- آشنایی اولیه با زبانهای C و ++C و PowerShell
- حداقل دو سال تجربهی کاری در زمینهی تست نفوذ یا تیم قرمز
سرفصلهای دوره
-
Something About Windows Internals
-
Object and Handle
-
Process
-
Threads
-
System Architecture
-
User/Kernel Transition
-
-
Antivirus and EDR Architecture
-
EDR overview
-
Writing EDR From Scratch
-
-
How EDR/AV works?
-
Kernel Callback
-
Hooking
-
Service
-
File System Mini Filter
-
-
Discover Installed EDR
-
Registry
-
Service
-
Driver
-
WMIC
-
Mini Filter
-
-
Bypass EDR/AV From User Mode
-
Bypass Static Engine
-
Bypass Behavior Protection
-
Bypass Hooking
-
Bypass Credential Dumping Protection
-
Bypass Cloud Submitting
-
-
Bypass EDR/AV From Kernel Mode
-
Working with WINDBG
-
Finding EDR in Kernel Land
-
Blinding Callback
-
Bypass File System Mini Filter
-
-
Bypass AMSI
-
Understanding AMSI
-
Analysis AMSI
-
Bypassing AMSI With Reflection in PowerShell
-
Patching AMSI
-