Purple Team

  • پیشرفته
  • مسیر بنفش
  • ۱۳ درس
ثبت نام سازمانی این دوره
تاریخ شروع
۲۱ تیر ۱۴۰۳
طول دوره
۵۴ساعت
گواهی‌نامه و آزمون
دارد
ظرفیت
۰ نفر باقی مانده
نوع برگزاری
حضوری

درباره‌ی این دوره

همان‌طور که می‌دانید تیم‌های قرمز و تست نفوذ همواره تلاش می‌کنند راهکارهای دفاعی پیاده‌سازی‌شده در سازمان توسط تیم‌های آبی را پشت سر گذاشته و اغلب میزان موفقیت آن‌ها با آسیب‌پذیری‌ها و نقاط ضعفی که از زیرساخت و سامانه‌های سازمان کشف می‌کنند، سنجیده می‌شود. با وجود هدف مشترک تیم‌های آبی و قرمز (افزایش امنیت سایبری سازمان)، کمتر همکاری لازم بین آن‌ها برای بهبود امنیت سازمانی و بهره‌برداری کامل از پتانسیل ارزیابی‌ها رخ می‌دهد. این عدم همکاری به‌خصوص در سازمان‌هایی که یک تیم آبی یکپارچه و یک تیم قرمز خارجی دارند، بیشتر رایج است.

اینجاست که تیم بنفش وارد عمل می‌شود. تیم بنفش به‌عنوان یک پل بازخورد بین تیم‌های قرمز و آبی طراحی شده است و رویکرد آن‌ها را به‌گونه‌ای تغییر می‌دهد تا فعال‌تر و در نهایت، برای وضعیت کلی امنیت سازمان مؤثرتر باشند. البته همیشه لازم نیست یک تیم مجزای اختصاصی بنفش در سازمان داشته باشیم، بلکه می‌توان آن را به‌عنوان یک فرایند امنیتی در نظر گرفت که امکان به‌اشتراک‌گذاری داده‌های اطلاعاتی بین دو تیم قرمز و آبی را توسط افرادی که در هر دو حوزه، تخصص کافی دارند فراهم کرده و در نتیجه دیدگاه‌های آن‌ها را با یکدیگر ارتباط می‌دهد.

در همین راستا، این دوره‌ی جامع به‌گونه‌ای طراحی شده است که شما با گذراندن آن، انواع تیم‌های امنیتی، ساختار تهدیدهای APT و تکنیک‌های پیشرفته‌ی اخذ دسترسی اولیه، جمع‌آوری اطلاعات، گسترش دسترسی، پایدارسازی دسترسی، حمله‌های اکتیو دایرکتوری، Lateral Movement و دور زدن راهکارهای امنیتی را به‌همراه روش‌های شناسایی و مقابله با این تهدیدها، ابزارهای دفاعی مدرن و بررسی چند سناریوی APT عملی، خواهید آموخت.

شایان ذکر است همراه داشتن لپ‌تاپ با حداقل ۱۵ گیگابایت RAM، ماشین مجازی ویندوز و لینوکس و داشتن محیط Active Directory برای حضور در این دوره الزامی است.

این دوره، برای بار سوم، در مدت‌زمان ۵۴ ساعت، طی ۹ جلسه‌ی ۶ساعته، پنجشنبه و جمعه‌ی هر هفته از ساعت ۰۹:۰۰ تا ۱۵:۰۰، به‌صورت حضوری در آکادمی راوین برگزار خواهد شد. شروع این دوره از روز پنجشنبه ۲۱ تیر ۱۴۰۳ خواهد بود.

آدرس: خیابان مطهری،‌ خیابان سلیمان‌خاطر، بین کوچه‌ی مسجد و گروس، پلاک ۱۰۵

این دوره به چه افرادی توصیه می‌شود؟

  • متخصصان امنیت سایبری
  • نفوذگران وب و شبکه
  • کارشناسان تیم بنفش
  • کارشناسان شکار تهدیدها
  • کارشناسان مدیریت رخداد
  • کارشناسان تیم مرکز عملیات امنیت

برای حضور در این دوره چه دانش‌هایی باید داشته باشم؟

  • حداقل دو سال سابقه در زمینه‌ی دفاعی یا حمله‌ها

سرفصل‌های دوره

  • Introduction to Purple Teaming
    • What is Red Teaming
    • What is Blue Teaming
    • What is Purple Teaming
  • Structure of an Advanced Persistent Threat (APT)
    • Chain of an Attack
    • MITRE comes to rescue
    • MITRE ATT&CK (Simulation)
    • Lab: Find a new (for you) interesting technique
    • MITRE Shield (Detection)
    • Lab: Write your detection hypothesis around the new technique
  • Initial access Emulation, Detection and Prevention
    • Legitimate binaries
    • Lab: Find and Use a LOLBin
    • Common techniques (DLL side loading, Scriptlet, XSL, Macro, DDE, JS, VBA)
    • Lab: Write a script for detecting DLL side loading
    • Lab: Mitigate Macro usage in Enterprise
    • Lab: Prevent Macro execution in Enterprise
    • Lab: Prevent JS/HTA execution in Enterprise
    • Fileless download and execution
    • Lab: Disabling Windows Script Host (WSH) in your organization
    • Bypass application control and whitelisting
    • Credential Harvesting Attacks
    • Lab: Find a Credential Harvesting Attack against a Cryptocurrency company
    • Domain Masquerading
    • Lab: Find a Domain Masquerading Attack against your organization
    • NTLM Relaying
    • Lab: Stopping NTLMv2 related attacks
    • Payload Packs (ISO, MSI)
    • Lab: Build your own Payload
    • Lab: Prevent ISO Mount in Enterprise
  • Enumeration Emulation, Detection and Prevention
    • RAW LDAP queries
    • Internal Reconnaissance with WinAPI
    • Lab: Write a code to get system information
    • Low noise host, group, ACL, user, policy, AD Controls, enumeration
    • Sessions
    • Password policies
    • Machine Account
  • Privilege Escalation Emulation, Detection and Prevention
    • Delegation
    • Targeted Kerberoasting
  • AD and Local persistent Emulation, Detection and Prevention
    • DLL Sideloads
    • COM Object Model
    • COM Interactions
    • COM Hijacking
    • Lab: Write a script for detecting COM Hijacking (should handle 2 of known variants)
    • COM Backdoors and Persistence
    • ACL and Security Descriptors
    • Abuse Kerberos for Persistent
  • Advanced Active Directory Domain Attacks
    • The Kerberos Realm
    • S4U2self Abuse AS-REP Roasting
    • Golden Tickets
    • Silver Tickets Attacks
    • Command execution on silver ticket
    • NO AD Touch Kerberos Attacks
    • Pass the Ticket
    • ACL, SACL, DACL and GPO Abuse
    • Abusing vulnerable services
    • Abuse AD rights
  • Lateral Movement
    • SMB and RPC Pivoting
    • WinRM and PowerShell Pivoting
    • Fileless WMI Queries and WMI Execution
    • Service Diversion
    • Remote Desktop
  • Defense Evasion
    • Event Tracing for Windows (ETW) bypasses
    • Application Whitelisting bypasses
    • VBA stomping
    • HTML smuggling
    • Parent Process Id (PPID) spoofing
    • Endpoint Detection and Response (EDR) Evasion
    • Environmental Keying
    • Attack Surface Reduction (ASR) bypasses
    • Command-Line Spoofing
    • Process Injection
  • Build Your Emulation Plan
    • Pick Your Favorite APT
    • Emulate the APT
    • Detect the APT
    • Mitigate the APT
  • Introduction to security mechanisms and tools
    • WDAC
    • CLM
    • ASR rule
    • EDR
    • YARA
  • Setup your RED – Blue LAB
    • C2
    • Elastic
  • Emulating real-world APTs and cyber criminals
    • APT 27: ProxyLogon -> Local and Domain Discovery -> DLL Search Order Hijacking -> Service (for Persistence) -> Indicator Removal -> Add Exclusion to Windows Defender -> Dumping LSASS -> NTDS -> Data Collection -> Exfiltration
    • APT 28: Latest TTPs!
    • Lazarus: Malicious Document (was sent via LinkedIn) -> LNK -> MSHTA -> VBScript -> Startup (for Persistence) -> PowerShell -> Disable Windows Defender -> Disable Credential Guard -> Credential Access -> Next Stage -> SSP (for Persistence) -> Indicator Removal
    • APT 29: Latest TTPs!
    • Emotet: LNK -> PowerShell -> Regsvr32 -> Local and Domain Recon -> Run Key -> Remote Management Tool -> Service Creation -> AnyDesk -> Zerologon -> Indicator Removal -> Dumping LSASS -> Remove Service -> WMI -> RDP -> Ransomware

گواهینامه‌ی دوره

دوره های مشابه

Purple Team
مهدی شلاهی

MCSA for Cyber Security

  • از ۲۳ مرداد
  • پیشرفته
  • مسیر بنفش
تکمیل ظرفیت
درخواست برگزاری

پرسش‌های رایج