• TopKursy - РЕДКИЕ Удаленные КУРСЫ!

    Эксклюзивные материалы, недоступные на других источниках.

    Откройте доступ к уникальным знаниям прямо сейчас!

    Подробнее

Скоро! Разработка наступательных инструментов безопасности под Windows [Signal Labs] [2023] — Часть 1 из x

Статус
В этой теме нельзя размещать новые ответы.
EGround

EGround

Редактор
Сообщения
24.288
Реакции
127

Складчина: Разработка наступательных инструментов безопасности под Windows [Signal Labs] [2023] — Часть 1 из x​


sl.png


Курс по современным методам разработки кастомных систем управления и контроля (C2), имплантации и пост-эксплуатации под Windows на языке программирования Rust.

  • Погрузитесь в разработку инструментов наступательной безопасности на высоком и низком уровнях с использованием языка программирования Rust;
  • Создавайте пользовательские загрузчики, руткиты ядра, импланты гипервизоров и многое другое.

Для кого предназначен этот курс:

  • Команды Red/Purple, желающие изучить продвинутые методы: использование руткитов ядра для пост-эксплуатации, методы обхода EDR и антивирусов, методы охоты за 0-day уязвимостями, способствующими повышению привилегий;
  • Специалисты информационной безопасности, желающие отказаться от использования сторонних инструментов и разрабатывать свои собственные C2-фреймворки и импланты, включая разработку собственных модулей для задач пост-эксплуатации (снятие дампов памяти, поиск векторов повышения привилегий, обеспечение закрепления на долговременной основе, кейлоггинг и т.д.);
  • Специалисты информационной безопасности, использующие коммерческое программное обеспечение (например, Cobalt Strike) и желающие разрабатывать свои собственные модули для расширения или модификации его возможностей, в основном для целей уклонения или добавления функциональности и техник, не включенных в подобные инструменты;
  • Курс подходит как для начинающих, так и для специалистов среднего уровня, при этом некоторые особенно продвинутые концепции (blue-pill гипервизоры, охота на 0-day уязвимости для red teamer-ов) представлены в простой для понимания форме.

Цели и задачи обучения:

  • По завершении обучения вы овладеете навыками программирования собственного фреймворка для проведения red team мероприятий, включая разработку кастомных систем управления и контроля (C2) и имплантов с использованием защищенных коммуникаций и возможностью расширения функциональности посредством модулей;
  • Вы получите опыт разработки кастомных пост-эксплуатационных модулей для снятия дампов памяти и выполнения типовых задач пост-эксплуатации, а также овладеете методами обхода/уклонения от EDR/антивирусов, безопасного извлечения данных по зашифрованным каналам связи в целях предотвращения рисков конфиденциальности или безопасности во время наступательных операций;
  • Вы узнаете о некоторых передовых техниках, используемых высококвалифицированными APT-группировками (например, blue-pill гипервизоры, поиск и эксплуатация быстрых 0-day уязвимостей для повышения привилегий).

Предварительные требования для обучения:

  • Для получения максимальной отдачи от курса вам желательно владеть базовыми навыками программирования на языках C/C++, но это не является обязательным требованием;
  • Windows 10 или 11;
  • Visual Studio Community 2019+ с установленными пакетами "Desktop development with c++" и ".NET desktop development", а также "Windows 11 WDK".

Содержание курса:

Этот курс посвящен разработке кастомных инструментов для проведения кампаний в области наступательной безопасности на уровнях пользователя, ядра и гипервизора. Мы напишем свой собственный кастомный код на языке программирования Rust с нуля. В процессе будут раскрыты следующие темы: высокоуровневое проектирование нашего кода, пошаговые инструкции по процессу разработки нашего кастомного кода, включая наши собственные COFF-загрузчики на базе Rust, модули анти-EDR, сервер и агенты C2, руткиты ядра, импланты гипервизора и многое другое.

Базовая теория

  • Методология и подходы (плейбуки, жизненные циклы атак, APT-группировки);
  • Анализ качества и планирование (готовый к продакшену код/общедоступный код исследователей в области информационной безопасности vs обезвреженная малварь vs коммерческие инструменты vs кастомные инструменты);
  • Операционные проблемы (операционная безопасность (OpSec), логирование и трекинг артефактов, метаданные имплантов);
  • Анализ известных вредоносных программ и их методов (буткиты и руткиты, многоступенчатые импланты, необычные C2-методы, шифрование и ротация ключей и т.д.).

Внутреннее устройство Windows

  • Привилегии программного и аппаратного обеспечения (панели управления (CPLs), кольца защиты Windows, уровни привилегий, токены, VMX/SVM Root/Non-Root);
  • Переходы между пользователем и ядром, ввод-вывод устройств, подкачка;
  • Механизмы межпроцессного взаимодействия (общая память, RPC, каналы и т.д.);
  • Анализ формата PE32/32+ и преобразование исходного кода или шелл-кода в скомпилированный двоичный код;
  • Подсистемы Windows и начальный реверс-инжиниринг;
  • Хотпатчинг (например, Hooks/Detours, AppInit/AppCert DLLs и т.д.).

Разработка модуля

  • Настройка среды разработки (проблемы с OpSec);
  • Создание собственного GetProcAddress (парсинг PEB | поиск модулей в памяти | безопасность потоков | форматы PE32/PE32+);
  • Создание собственного COFF-загрузчика;
  • Техники и анализ внедрения в различные процессы (дублирование объектов | секции с отображением в памяти | без потоков);
  • Обходы EDR (продвинутый анхукинг с использованием техник дизассемблирования в памяти);
  • Создание кастомного MiniDumper-а на базе Rust (PssWalk* Apis, токены и многое другое);
  • Техники обфускации трассировки стека

C2 и операционное управление

  • Создание наших проектов имплантов, агентов и сервера;
  • Использование HTTP/2 и gRPC с Protobuf и Serde;
  • Мониторинг активов (с VirusTotal API);
  • Прокси, перехват/stripping SSL, классификация и способы обхода.

Техники на уровне ядра и гипервизора

  • Среда разработки ядра и настройка отладки
  • Создание кастомного драйвера защиты с использованием Rust
  • Создание нашего собственного кастомного Blue-Pill гипервизора с нуля (Intel VMX)

***
Тип перевода: перевод с английского языка на русский и озвучивание
Название материала в оригинале: Offensive Tool Development
Дата релиза: 2023
Объем оригинала: ~40+ часов
Объем перевода первой части: ~61 минута
Формат: видео, без субтитров


Материал «Разработка наступательных инструментов безопасности под Windows [Signal Labs] [2023] — Часть 1 из x», возможно, скоро появится на EGROUND.
Воспользуйтесь поиском, может быть, он уже опубликован.
 
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

Сверху Снизу