EGround
Редактор
- Сообщения
- 24.288
- Реакции
- 127
Складчина: Разработка наступательных инструментов безопасности под Windows [Signal Labs] [2023] — Часть 1 из x
Курс по современным методам разработки кастомных систем управления и контроля (C2), имплантации и пост-эксплуатации под Windows на языке программирования Rust.
- Погрузитесь в разработку инструментов наступательной безопасности на высоком и низком уровнях с использованием языка программирования Rust;
- Создавайте пользовательские загрузчики, руткиты ядра, импланты гипервизоров и многое другое.
Для кого предназначен этот курс:
- Команды Red/Purple, желающие изучить продвинутые методы: использование руткитов ядра для пост-эксплуатации, методы обхода EDR и антивирусов, методы охоты за 0-day уязвимостями, способствующими повышению привилегий;
- Специалисты информационной безопасности, желающие отказаться от использования сторонних инструментов и разрабатывать свои собственные C2-фреймворки и импланты, включая разработку собственных модулей для задач пост-эксплуатации (снятие дампов памяти, поиск векторов повышения привилегий, обеспечение закрепления на долговременной основе, кейлоггинг и т.д.);
- Специалисты информационной безопасности, использующие коммерческое программное обеспечение (например, Cobalt Strike) и желающие разрабатывать свои собственные модули для расширения или модификации его возможностей, в основном для целей уклонения или добавления функциональности и техник, не включенных в подобные инструменты;
- Курс подходит как для начинающих, так и для специалистов среднего уровня, при этом некоторые особенно продвинутые концепции (blue-pill гипервизоры, охота на 0-day уязвимости для red teamer-ов) представлены в простой для понимания форме.
Цели и задачи обучения:
- По завершении обучения вы овладеете навыками программирования собственного фреймворка для проведения red team мероприятий, включая разработку кастомных систем управления и контроля (C2) и имплантов с использованием защищенных коммуникаций и возможностью расширения функциональности посредством модулей;
- Вы получите опыт разработки кастомных пост-эксплуатационных модулей для снятия дампов памяти и выполнения типовых задач пост-эксплуатации, а также овладеете методами обхода/уклонения от EDR/антивирусов, безопасного извлечения данных по зашифрованным каналам связи в целях предотвращения рисков конфиденциальности или безопасности во время наступательных операций;
- Вы узнаете о некоторых передовых техниках, используемых высококвалифицированными APT-группировками (например, blue-pill гипервизоры, поиск и эксплуатация быстрых 0-day уязвимостей для повышения привилегий).
Предварительные требования для обучения:
- Для получения максимальной отдачи от курса вам желательно владеть базовыми навыками программирования на языках C/C++, но это не является обязательным требованием;
- Windows 10 или 11;
- Visual Studio Community 2019+ с установленными пакетами "Desktop development with c++" и ".NET desktop development", а также "Windows 11 WDK".
Содержание курса:
Этот курс посвящен разработке кастомных инструментов для проведения кампаний в области наступательной безопасности на уровнях пользователя, ядра и гипервизора. Мы напишем свой собственный кастомный код на языке программирования Rust с нуля. В процессе будут раскрыты следующие темы: высокоуровневое проектирование нашего кода, пошаговые инструкции по процессу разработки нашего кастомного кода, включая наши собственные COFF-загрузчики на базе Rust, модули анти-EDR, сервер и агенты C2, руткиты ядра, импланты гипервизора и многое другое.
Базовая теория
- Методология и подходы (плейбуки, жизненные циклы атак, APT-группировки);
- Анализ качества и планирование (готовый к продакшену код/общедоступный код исследователей в области информационной безопасности vs обезвреженная малварь vs коммерческие инструменты vs кастомные инструменты);
- Операционные проблемы (операционная безопасность (OpSec), логирование и трекинг артефактов, метаданные имплантов);
- Анализ известных вредоносных программ и их методов (буткиты и руткиты, многоступенчатые импланты, необычные C2-методы, шифрование и ротация ключей и т.д.).
Внутреннее устройство Windows
- Привилегии программного и аппаратного обеспечения (панели управления (CPLs), кольца защиты Windows, уровни привилегий, токены, VMX/SVM Root/Non-Root);
- Переходы между пользователем и ядром, ввод-вывод устройств, подкачка;
- Механизмы межпроцессного взаимодействия (общая память, RPC, каналы и т.д.);
- Анализ формата PE32/32+ и преобразование исходного кода или шелл-кода в скомпилированный двоичный код;
- Подсистемы Windows и начальный реверс-инжиниринг;
- Хотпатчинг (например, Hooks/Detours, AppInit/AppCert DLLs и т.д.).
Разработка модуля
- Настройка среды разработки (проблемы с OpSec);
- Создание собственного GetProcAddress (парсинг PEB | поиск модулей в памяти | безопасность потоков | форматы PE32/PE32+);
- Создание собственного COFF-загрузчика;
- Техники и анализ внедрения в различные процессы (дублирование объектов | секции с отображением в памяти | без потоков);
- Обходы EDR (продвинутый анхукинг с использованием техник дизассемблирования в памяти);
- Создание кастомного MiniDumper-а на базе Rust (PssWalk* Apis, токены и многое другое);
- Техники обфускации трассировки стека
C2 и операционное управление
- Создание наших проектов имплантов, агентов и сервера;
- Использование HTTP/2 и gRPC с Protobuf и Serde;
- Мониторинг активов (с VirusTotal API);
- Прокси, перехват/stripping SSL, классификация и способы обхода.
Техники на уровне ядра и гипервизора
- Среда разработки ядра и настройка отладки
- Создание кастомного драйвера защиты с использованием Rust
- Создание нашего собственного кастомного Blue-Pill гипервизора с нуля (Intel VMX)
***
Тип перевода: перевод с английского языка на русский и озвучивание
Название материала в оригинале: Offensive Tool Development
Дата релиза: 2023
Объем оригинала: ~40+ часов
Объем перевода первой части: ~61 минута
Формат: видео, без субтитров
Материал «Разработка наступательных инструментов безопасности под Windows [Signal Labs] [2023] — Часть 1 из x», возможно, скоро появится на EGROUND.
Воспользуйтесь поиском, может быть, он уже опубликован.