Poziom zaawansowania:
Prowadzący: Grzegorz Tworek
Miejsce i data:
Cena: 2150 PLN netto (2 dni)

Praktyczne szkolenie pokazujące realne problemy z bezpieczeństwem systemów Windows. Szkolenie zawiera około 60% ćwiczeń. W formie warsztatowej wskazywane są aktualne metody ataków na sieci Windows oraz wskazywane są metody ochrony.

Szkolenie przeznaczone jest dla administratorów, osób monitorujących bezpieczeństwo sieci, pentesterów czy architektów bezpieczeństwa.

Architektura systemu

  • Kernel / User -mode
  • Procesy i wątki
  • Serwisy systemowe
  • Pamięć
  • Filesystemy
  • Sieciowość
  • Rejestr Windows

Model bezpieczeństwa

  • Tokeny i tożsamość (kontekst) obiektów
    i. Idea
    ii. Kradzież tokenu
    iii. Budowanie tokenów
    iv. Kontekst LOCALSYSTEM
  • ACLe
    i. Sposób działania
    ii. Omijanie ACLi
    iii. ACLe dla obiektów innych niż pliki
  • Przywileje systemowe
    i. Użycie przywilejów systemowych do eskalacji uprawnień

Kryptografia w Windows

  • DPAPI
  • DPAPIng
  • BitLocker
  • Nieautoryzowane rozszyfrowywanie danych

Poświadczenia tożsamości (credentials)

  • Pozyskiwanie hashy (lokalnie i z AD)
  • Pozyskiwanie danych uwierzytelniających z mechanizmów zapisywania poświadczeń przez aplikacje
  • Pozyskiwanie danych uwierzytelniających z transmisji sieciowej (SMB, SQL, https)
  • Kradzież i budowanie tokenów (uzupełnienie do #2.a powyżej)
  • Pozyskiwanie poświadczeń z pamięci operacyjnej
  • Pass-the-Hash
  • „Cached credentials”

Ataki offline

  • Wykradanie danych (read only)
    i. Techniki dostępu offline, w tym do snapshotów plików w działającym systemie
    ii. Pozyskiwanie zawartości rejestru
    iii. Pozyskiwanie zawartości AD
    iv. Dostęp do danych szyfrowanych / kluczy
  • Modyfikacje środowiska (read / write)
    i. Edycja rejestru
    ii. Zarządzanie użytkownikami
    iii. Ataki bazujące na utilman.exe
    iv. Inne techniki infekcji w trybie offline
  • Serwisy systemowe
  • DLLe
  • Autostarty

Wbudowane mechanizmy zdalnego dostępu

  • WMI
  • WinRM
  • Services API
  • RDP
  • SMB

Ataki na procesy

  • Ataki oparte o DLL
  • Wstrzykiwanie wątków
  • Przechwytywanie wywołań systemowych (API Hooking)
  • Ataki na pamięć

Internet Information Services

  • Model działania
  • Użycie ataków na aplikacje webowe do przejęcia kontroli nad systemem
  • Zacieranie śladów i omijanie typowych zabezpieczeń

Bezpieczeństwo Active Directory

  • Ataki wykorzystujące Kerberos
  • Podatności związane z uprawnieniami w usłudze katalogowej
  • Podatności związane z hasłami w GPO/GPP
  • Ataki wykorzystujące plik ntds.dit
  • DCSync

SQL Server jako wektor ataku

PowerShell

  • Podstawy języka i środowiska
  • Dostęp do .NET i Win32 API
  • Omijanie zabezpieczeń przed złośliwymi skryptami
  • Narzędzia oparte o PowerShell (w tym PowerSploit)

Pozostałe informacje

Do szkolenia wymagany jest laptop (wymagany VirtualBox, minimum 15 GB wolnego miejsca na HDD i 4 GB wolnej pamięci RAM)

Cena szkolenia

Cena dwudniowego szkolenia wynosi 2150 PLN netto / osobę i zawiera:

  • Udział w szkoleniu.
  • Obiad w trakcie każdego dnia trwania szkolenia.
  • Dostępne w trakcie szkolenia: kawa, herbata, woda, ciasteczka.
  • Certyfikat ukończenia szkolenia.

Kontakt

Więcej informacji można uzyskać kontaktując się z nami e-mail: szkolenia@securitum.pl, tel.: (12) 36 13 337

Formularz zgłoszeniowy

Wypełnij formularz, aby zapisać się na szkolenie.

Prowadzący: Grzegorz Tworek

Grzegorz Tworek – Specjalista IT w drugim pokoleniu. Od wielu lat aktywnie promuje idee związane z bezpieczeństwem informatyki, zwłaszcza w powiązaniu z systemami Microsoft. Autor artykułów i książek na temat security, prelegent i ekspert na wszelkich konferencjach, od studenckich po BlackHat. W czasie ponaddwudziestoletniej kariery zawodowej zarządzał czterema zbudowanymi od podstaw zespołami ekspertów IT Security, napisał dziesiątki narzędzi, znajdował bugi w kodzie systemów Windows, jednych hackerów wsadzał do więzienia a innych z niego wyciągał. Dwanaście razy nagradzany przez Microsoft tytułem Most Valuable Professional.