EGround
Редактор
- Сообщения
- 24.288
- Реакции
- 127
Складчина: Оператор Red Team: курс продвинутого уровня по разработке вредоносных программ. Том 2 [Sektor7]
Red Team Operator: Malware Development Advanced — Vol.2
Язык: английский
Разработка продвинутых инструментов наступательной безопасности под ядро Windows, включая манипуляции с объектами ядра, отключение телеметрии EtW, получение и сохранение примитивов read+write в ядре Windows, и многое другое.
В предыдущем курсе Тома 1 мы обсуждали некоторые продвинутые методы разработки вредоносного ПО в пользовательском пространстве.
Пришло время сосредоточиться на ядре Windows и его внутренней работе, чтобы понять, как можно использовать доступ для чтения / записи к объектам ядра из пользовательского пространства.
В числе тем:
- обсуждаем разницу между режимами пользователя и ядра, способы взаимодействия с драйверами ядра и прямые манипуляции с объектами ядра (DKOMs)
- кодирование с использованием стороннего интерфейса драйвера
- доступ к объектам ядра из пользовательского пространства
- поиск и злоупотребление дескрипторами для обхода средств защиты
- манипулирование токенами для получения более высоких привилегий (изменение пользователей, уровней целостности и снятие ограничений токенов)
- создание полностью защищенного процесса
- использование различных стратегий для поиска поставщиков ETW в ядре Windows
- удаление обратных вызовов ядра для процессов, потоков, образов, дескрипторов и событий, связанных с реестром
- сохранение примитивов R+W без драйвера ядра
- чтение и обход списков блокировки уязвимых драйверов
- поиск уязвимых драйверов и смещений ядра
Вы узнаете, как
- Общайтесь с драйверами ядра, используя сторонний интерфейс драйверов
- Получайте доступ и манипулируйте объектами ядра (включая процессы, дескрипторы и токены) в своих интересах
- Найдите и измените поставщиков ETW на уровне ядра для изменения потоков телеметрии.
- Сделайте любой процесс защищенным
- Изменение обратных вызовов ядра для различных системных объектов
- Сохранение примитивов чтения и записи пользователя в ядре без использования драйвера
- Работа со списками блокировки водителей
- Найти смещения ядра и уязвимые драйверы
Содержание
Спойлер: Программа подробно: Введение и настройка
Введение в курс. 2 мин.5.13 МБ
Настройка виртуальной машины для разработки. 3 мин.9 МБ
Настройка режима отладки виртуальной машины. 3 мин.12,7 МБ
Проблемы с режимом отладки виртуальной машины. 6 мин.29.1 МБ
Добавление служб в курс VM
RTO-MalDev4.ova
MDA2.zip. 620 КБ
Вход в ядро
Пользовательский режим против режима ядра против DKOM. 7 мин.16.4 МБ
Интерфейс стороннего драйвера — слой оболочки. 5 мин.17,5 МБ
Интерфейс стороннего драйвера — уровень драйвера. 4 мин.17,4 МБ
Объект EPROCESS — Введение. 3 мин.7.13 МБ
Объект EPROCESS — эксперименты Windbg. 12 мин.51,5 МБ
Объект EPROCESS — Реализация. 12 мин.51,8 МБ
Объекты ядра
Ручки — Введение. 3 мин.7,43 МБ
Ручки — Ручка Стол. 10 мин.35,3 МБ
Ручки — Многоуровневые ручки столов. 12 мин.46 МБ
Ручки — Вооружение. 6 мин.32,1 МБ
Токены — «Заимствование». 6 мин.24,9 МБ
Токены — Привилегии. 4 мин.18.2 МБ
Токены — Уровни целостности. 10 мин.43,8 МБ
Токены — Неограниченный объект. 5 мин.21,9 МБ
Процессы — Защита. 9 мин.41,5 МБ
Телеметрия ядра
ETW — Поиск поставщиков с помощью DbgData. 18 мин.82,4 МБ
ETW — поиск поставщиков с помощью Threat-Intel. 9 мин.36,8 МБ
Обратные вызовы водителей — Введение. 6 мин.23,5 МБ
Обратные вызовы драйверов — Реализация. 13 мин.57,9 МБ
Обратные вызовы объектов — Введение. 10 мин.40,5 МБ
Обратные вызовы объектов — Реализация. 5 мин.24,9 МБ
Реестр обратных вызовов. 8 мин.33 МБ
Физическая память
Перевод виртуального адреса в физический. 6 мин.14.1 МБ
Эксперименты V2P с Windbg. 12 мин.36,7 МБ
Физическая память — GDriver. 13 мин.46,5 МБ
Физическая память — драйвер Intel. 9 мин.36.2 МБ
Эксплуатация
«Режим сохранения». 16 мин.64 МБ
Черные списки водителей. 6 мин.32 МБ
Поиск уязвимых драйверов. 4 мин.16.8 МБ
Извлечение смещений ядра. 7 мин.31 МБ
Задания
Задание №1 — Услуги водителя
Задание №2 — «Расширение» драйвера Intel (V2P)
Задание №3 — Физическо-виртуальный перевод
Задание №4 — Обратные вызовы минифильтра
Краткое содержание
Заключительные слова. 2 мин.3,73 МБ
Что вы получите?
- Полноценные видео, подробно объясняющие все техники
- Транскрипция с английскими субтитрами
- Текстовые дополнения с дополнительной информацией (фрагменты кода, определения структур, описание и контекст технологий и т. д.)
- Исходный код с шаблонами кода для быстрой разработки
- Образ виртуальной машины с готовой к использованию средой разработки
Какой язык используется в курсе?
Все видео, тексты и материалы на английском языке.
Спойлер: Оригинал описания: Advanced offensive security tool (OST) development for Windows kernel, including: kernel object manipulations, silencing EtW telemetry, obtaining and preserving READ+WRITE primitives in Windows kernel, and more
Welcome to Malware Development Advanced (Vol.2) course!
In the previous Volume 1 course we discussed some advanced user land techniques of malware development.
It's time to focus on Windows kernel land and its inner workings to see how one can leverage READ/WRITE access to kernel objects from user space on his/her advantage:
That includes:
discussing a difference between User vs Kernel Modes, how to communicate with kernel drivers and Direct Kernel Object Manipulations (DKOMs)
coding with 3rd-party Driver Interface
accessing kernel objects from user space
finding and abusing handles to bypass security measures
manipulating tokens for gaining higher privileges (changing users, integrity levels and unrestricting tokens)
becoming a fully protected process
using various strategies to locate ETW providers in Windows kernel
removing kernel callbacks for process, thread, image, handle and registry related events
preserving R+W primitives without kernel driver
reading and bypassing vulnerable driver blocklists
finding vulnerable drivers and kernel offsets
You will receive a virtual machine with complete environment for developing and testing your software, and a set of source code templates which will allow you to focus on understanding the essential mechanisms instead of less important technical aspects of implementation.
Цена: 24000р. (249$)
Материал «Оператор Red Team: курс продвинутого уровня по разработке вредоносных программ. Том 2 [Sektor7]», возможно, скоро появится на EGROUND.
Воспользуйтесь поиском, может быть, он уже опубликован.