Purple Team
Purple Team
پس از پرداخت اطلاعات به ایمیل شما ارسال خواهد شد
- پیشرفته
- مسیر بنفش
- ۱۳ درس
دربارهی این دوره
همانطور که میدانید تیمهای قرمز و تست نفوذ همواره تلاش میکنند راهکارهای دفاعی پیادهسازیشده در سازمان توسط تیمهای آبی را پشت سر گذاشته و اغلب میزان موفقیت آنها با آسیبپذیریها و نقاط ضعفی که از زیرساخت و سامانههای سازمان کشف میکنند، سنجیده میشود. با وجود هدف مشترک تیمهای آبی و قرمز (افزایش امنیت سایبری سازمان)، کمتر همکاری لازم بین آنها برای بهبود امنیت سازمانی و بهرهبرداری کامل از پتانسیل ارزیابیها رخ میدهد. این عدم همکاری بهخصوص در سازمانهایی که یک تیم آبی یکپارچه و یک تیم قرمز خارجی دارند، بیشتر رایج است.
اینجاست که تیم بنفش وارد عمل میشود. تیم بنفش بهعنوان یک پل بازخورد بین تیمهای قرمز و آبی طراحی شده است و رویکرد آنها را بهگونهای تغییر میدهد تا فعالتر و در نهایت، برای وضعیت کلی امنیت سازمان مؤثرتر باشند. البته همیشه لازم نیست یک تیم مجزای اختصاصی بنفش در سازمان داشته باشیم، بلکه میتوان آن را بهعنوان یک فرایند امنیتی در نظر گرفت که امکان بهاشتراکگذاری دادههای اطلاعاتی بین دو تیم قرمز و آبی را توسط افرادی که در هر دو حوزه، تخصص کافی دارند فراهم کرده و در نتیجه دیدگاههای آنها را با یکدیگر ارتباط میدهد.
در همین راستا، این دورهی جامع بهگونهای طراحی شده است که شما با گذراندن آن، انواع تیمهای امنیتی، ساختار تهدیدهای APT و تکنیکهای پیشرفتهی اخذ دسترسی اولیه، جمعآوری اطلاعات، گسترش دسترسی، پایدارسازی دسترسی، حملههای اکتیو دایرکتوری، Lateral Movement و دور زدن راهکارهای امنیتی را بههمراه روشهای شناسایی و مقابله با این تهدیدها، ابزارهای دفاعی مدرن و بررسی چند سناریوی APT عملی، خواهید آموخت.
شایان ذکر است همراه داشتن لپتاپ با حداقل ۱۵ گیگابایت RAM، ماشین مجازی ویندوز و لینوکس و داشتن محیط Active Directory برای حضور در این دوره الزامی است.
این دوره، برای بار سوم، در مدتزمان ۵۴ ساعت، طی ۹ جلسهی ۶ساعته، پنجشنبه و جمعهی هر هفته از ساعت ۰۹:۰۰ تا ۱۵:۰۰، بهصورت حضوری در آکادمی راوین برگزار خواهد شد. شروع این دوره از روز پنجشنبه ۲۱ تیر ۱۴۰۳ خواهد بود.
آدرس: خیابان مطهری، خیابان سلیمانخاطر، بین کوچهی مسجد و گروس، پلاک ۱۰۵
این دوره به چه افرادی توصیه میشود؟
- متخصصان امنیت سایبری
- نفوذگران وب و شبکه
- کارشناسان تیم بنفش
- کارشناسان شکار تهدیدها
- کارشناسان مدیریت رخداد
- کارشناسان تیم مرکز عملیات امنیت
برای حضور در این دوره چه دانشهایی باید داشته باشم؟
- حداقل دو سال سابقه در زمینهی دفاعی یا حملهها
سرفصلهای دوره
-
Introduction to Purple Teaming
-
What is Red Teaming
-
What is Blue Teaming
-
What is Purple Teaming
-
-
Structure of an Advanced Persistent Threat (APT)
-
Chain of an Attack
-
MITRE comes to rescue
-
MITRE ATT&CK (Simulation)
-
Lab: Find a new (for you) interesting technique
-
MITRE Shield (Detection)
-
Lab: Write your detection hypothesis around the new technique
-
-
Initial access Emulation, Detection and Prevention
-
Legitimate binaries
-
Lab: Find and Use a LOLBin
-
Common techniques (DLL side loading, Scriptlet, XSL, Macro, DDE, JS, VBA)
-
Lab: Write a script for detecting DLL side loading
-
Lab: Mitigate Macro usage in Enterprise
-
Lab: Prevent Macro execution in Enterprise
-
Lab: Prevent JS/HTA execution in Enterprise
-
Fileless download and execution
-
Lab: Disabling Windows Script Host (WSH) in your organization
-
Bypass application control and whitelisting
-
Credential Harvesting Attacks
-
Lab: Find a Credential Harvesting Attack against a Cryptocurrency company
-
Domain Masquerading
-
Lab: Find a Domain Masquerading Attack against your organization
-
NTLM Relaying
-
Lab: Stopping NTLMv2 related attacks
-
Payload Packs (ISO, MSI)
-
Lab: Build your own Payload
-
Lab: Prevent ISO Mount in Enterprise
-
-
Enumeration Emulation, Detection and Prevention
-
RAW LDAP queries
-
Internal Reconnaissance with WinAPI
-
Lab: Write a code to get system information
-
Low noise host, group, ACL, user, policy, AD Controls, enumeration
-
Sessions
-
Password policies
-
Machine Account
-
-
Privilege Escalation Emulation, Detection and Prevention
-
Delegation
-
Targeted Kerberoasting
-
-
AD and Local persistent Emulation, Detection and Prevention
-
DLL Sideloads
-
COM Object Model
-
COM Interactions
-
COM Hijacking
-
Lab: Write a script for detecting COM Hijacking (should handle 2 of known variants)
-
COM Backdoors and Persistence
-
ACL and Security Descriptors
-
Abuse Kerberos for Persistent
-
-
Advanced Active Directory Domain Attacks
-
The Kerberos Realm
-
S4U2self Abuse AS-REP Roasting
-
Golden Tickets
-
Silver Tickets Attacks
-
Command execution on silver ticket
-
NO AD Touch Kerberos Attacks
-
Pass the Ticket
-
ACL, SACL, DACL and GPO Abuse
-
Abusing vulnerable services
-
Abuse AD rights
-
-
Lateral Movement
-
SMB and RPC Pivoting
-
WinRM and PowerShell Pivoting
-
Fileless WMI Queries and WMI Execution
-
Service Diversion
-
Remote Desktop
-
-
Defense Evasion
-
Event Tracing for Windows (ETW) bypasses
-
Application Whitelisting bypasses
-
VBA stomping
-
HTML smuggling
-
Parent Process Id (PPID) spoofing
-
Endpoint Detection and Response (EDR) Evasion
-
Environmental Keying
-
Attack Surface Reduction (ASR) bypasses
-
Command-Line Spoofing
-
Process Injection
-
-
Build Your Emulation Plan
-
Pick Your Favorite APT
-
Emulate the APT
-
Detect the APT
-
Mitigate the APT
-
-
Introduction to security mechanisms and tools
-
WDAC
-
CLM
-
ASR rule
-
EDR
-
YARA
-
-
Setup your RED – Blue LAB
-
C2
-
Elastic
-
-
Emulating real-world APTs and cyber criminals
-
APT 27: ProxyLogon -> Local and Domain Discovery -> DLL Search Order Hijacking -> Service (for Persistence) -> Indicator Removal -> Add Exclusion to Windows Defender -> Dumping LSASS -> NTDS -> Data Collection -> Exfiltration
-
APT 28: Latest TTPs!
-
Lazarus: Malicious Document (was sent via LinkedIn) -> LNK -> MSHTA -> VBScript -> Startup (for Persistence) -> PowerShell -> Disable Windows Defender -> Disable Credential Guard -> Credential Access -> Next Stage -> SSP (for Persistence) -> Indicator Removal
-
APT 29: Latest TTPs!
-
Emotet: LNK -> PowerShell -> Regsvr32 -> Local and Domain Recon -> Run Key -> Remote Management Tool -> Service Creation -> AnyDesk -> Zerologon -> Indicator Removal -> Dumping LSASS -> Remove Service -> WMI -> RDP -> Ransomware
-