- zdalnie: 30-31.03.2023
Architektura systemu
- Kernel / User -mode
- Procesy i wątki
- Serwisy systemowe
- Pamięć
- Filesystemy
- Sieciowość
- Rejestr Windows
Model bezpieczeństwa
- Tokeny i tożsamość (kontekst) obiektów i. Idea ii. Kradzież tokenu iii. Budowanie tokenów iv. Kontekst LOCALSYSTEM
- ACLe i. Sposób działania ii. Omijanie ACLi iii. ACLe dla obiektów innych niż pliki
- Przywileje systemowe i. Użycie przywilejów systemowych do eskalacji uprawnień
Kryptografia w Windows
- DPAPI
- DPAPIng
- BitLocker
- Nieautoryzowane rozszyfrowywanie danych
Poświadczenia tożsamości (credentials)
- Pozyskiwanie hashy (lokalnie i z AD)
- Pozyskiwanie danych uwierzytelniających z mechanizmów zapisywania poświadczeń przez aplikacje
- Pozyskiwanie danych uwierzytelniających z transmisji sieciowej (SMB, SQL, https)
- Kradzież i budowanie tokenów (uzupełnienie do #2.a powyżej)
- Pozyskiwanie poświadczeń z pamięci operacyjnej
- Pass-the-Hash
- „Cached credentials”
Ataki offline
- Wykradanie danych (read only) i. Techniki dostępu offline, w tym do snapshotów plików w działającym systemie ii. Pozyskiwanie zawartości rejestru iii. Pozyskiwanie zawartości AD iv. Dostęp do danych szyfrowanych / kluczy
- Modyfikacje środowiska (read / write) i. Edycja rejestru ii. Zarządzanie użytkownikami iii. Ataki bazujące na utilman.exe iv. Inne techniki infekcji w trybie offline
- Serwisy systemowe
- DLLe
- Autostarty
Wbudowane mechanizmy zdalnego dostępu
- WMI
- WinRM
- Services API
- RDP
- SMB
Ataki na procesy
- Ataki oparte o DLL
- Wstrzykiwanie wątków
- Przechwytywanie wywołań systemowych (API Hooking)
- Ataki na pamięć
Internet Information Services
- Model działania
- Użycie ataków na aplikacje webowe do przejęcia kontroli nad systemem
- Zacieranie śladów i omijanie typowych zabezpieczeń
Bezpieczeństwo Active Directory
- Ataki wykorzystujące Kerberos
- Podatności związane z uprawnieniami w usłudze katalogowej
- Podatności związane z hasłami w GPO/GPP
- Ataki wykorzystujące plik ntds.dit
- DCSync
SQL Server jako wektor ataku
PowerShell
- Podstawy języka i środowiska
- Dostęp do .NET i Win32 API
- Omijanie zabezpieczeń przed złośliwymi skryptami
- Narzędzia oparte o PowerShell (w tym PowerSploit)
Pozostałe informacje
Szkolenie prowadzone jest obecnie w wersji zdalnej, według tego samego programu co szkolenia stacjonarne, uczestnicy wykonują te same ćwiczenia a instruktor jest do dyspozycji uczestników przez cały czas trwania szkolenia. Do szkolenia wymagany jest laptop z dowolnym systemem operacyjnym (wymagany VirtualBox, minimum 15 GB wolnego miejsca na HDD i 4 GB wolnej pamięci RAM), stabilny internet i słuchawki z mikrofonem.
Cena szkolenia
Cena katalogowa dwudniowego szkolenia wynosi 2499 PLN netto / osobę
- Udział w szkoleniu i dostęp do platformy szkoleniowej.
- Certyfikat ukończenia szkolenia (PDF).
Kontakt
Więcej informacji można uzyskać kontaktując się z nami e-mail: szkolenia@securitum.pl, tel.: (12) 36 13 337
Formularz zgłoszeniowy
Wypełnij formularz, aby zapisać się na szkolenie.
Prowadzący: Grzegorz Tworek
Grzegorz Tworek – Specjalista IT w drugim pokoleniu. Od wielu lat aktywnie promuje idee związane z bezpieczeństwem informatyki, zwłaszcza w powiązaniu z systemami Microsoft. Autor artykułów i książek na temat security, prelegent i ekspert na wszelkich konferencjach, od studenckich po BlackHat. W czasie ponaddwudziestoletniej kariery zawodowej zarządzał czterema zbudowanymi od podstaw zespołami ekspertów IT Security, napisał dziesiątki narzędzi, znajdował bugi w kodzie systemów Windows, jednych hackerów wsadzał do więzienia a innych z niego wyciągał. Dwanaście razy nagradzany przez Microsoft tytułem Most Valuable Professional.