- zdalne: 29-30.07.2020
Praktyczne szkolenie pokazujące realne problemy z bezpieczeństwem systemów Windows. Szkolenie zawiera około 60% ćwiczeń. W formie warsztatowej wskazywane są aktualne metody ataków na sieci Windows oraz wskazywane są metody ochrony.
Szkolenie przeznaczone jest dla administratorów, osób monitorujących bezpieczeństwo sieci, pentesterów czy architektów bezpieczeństwa.
Architektura systemu
- Kernel / User -mode
- Procesy i wątki
- Serwisy systemowe
- Pamięć
- Filesystemy
- Sieciowość
- Rejestr Windows
Model bezpieczeństwa
- Tokeny i tożsamość (kontekst) obiektów
i. Idea
ii. Kradzież tokenu
iii. Budowanie tokenów
iv. Kontekst LOCALSYSTEM - ACLe
i. Sposób działania
ii. Omijanie ACLi
iii. ACLe dla obiektów innych niż pliki - Przywileje systemowe
i. Użycie przywilejów systemowych do eskalacji uprawnień
Kryptografia w Windows
- DPAPI
- DPAPIng
- BitLocker
- Nieautoryzowane rozszyfrowywanie danych
Poświadczenia tożsamości (credentials)
- Pozyskiwanie hashy (lokalnie i z AD)
- Pozyskiwanie danych uwierzytelniających z mechanizmów zapisywania poświadczeń przez aplikacje
- Pozyskiwanie danych uwierzytelniających z transmisji sieciowej (SMB, SQL, https)
- Kradzież i budowanie tokenów (uzupełnienie do #2.a powyżej)
- Pozyskiwanie poświadczeń z pamięci operacyjnej
- Pass-the-Hash
- „Cached credentials”
Ataki offline
- Wykradanie danych (read only)
i. Techniki dostępu offline, w tym do snapshotów plików w działającym systemie
ii. Pozyskiwanie zawartości rejestru
iii. Pozyskiwanie zawartości AD
iv. Dostęp do danych szyfrowanych / kluczy - Modyfikacje środowiska (read / write)
i. Edycja rejestru
ii. Zarządzanie użytkownikami
iii. Ataki bazujące na utilman.exe
iv. Inne techniki infekcji w trybie offline - Serwisy systemowe
- DLLe
- Autostarty
Wbudowane mechanizmy zdalnego dostępu
- WMI
- WinRM
- Services API
- RDP
- SMB
Ataki na procesy
- Ataki oparte o DLL
- Wstrzykiwanie wątków
- Przechwytywanie wywołań systemowych (API Hooking)
- Ataki na pamięć
Internet Information Services
- Model działania
- Użycie ataków na aplikacje webowe do przejęcia kontroli nad systemem
- Zacieranie śladów i omijanie typowych zabezpieczeń
Bezpieczeństwo Active Directory
- Ataki wykorzystujące Kerberos
- Podatności związane z uprawnieniami w usłudze katalogowej
- Podatności związane z hasłami w GPO/GPP
- Ataki wykorzystujące plik ntds.dit
- DCSync
SQL Server jako wektor ataku
PowerShell
- Podstawy języka i środowiska
- Dostęp do .NET i Win32 API
- Omijanie zabezpieczeń przed złośliwymi skryptami
- Narzędzia oparte o PowerShell (w tym PowerSploit)
Pozostałe informacje
Do szkolenia wymagany jest laptop (wymagany VirtualBox, minimum 15 GB wolnego miejsca na HDD i 4 GB wolnej pamięci RAM)
Cena szkolenia
Cena dwudniowego szkolenia wynosi 2399 PLN netto / osobę i zawiera:
- Udział w szkoleniu.
- Obiad w trakcie każdego dnia trwania szkolenia.
- Dostępne w trakcie szkolenia: kawa, herbata, woda, ciasteczka.
- Certyfikat ukończenia szkolenia.
Kontakt
Więcej informacji można uzyskać kontaktując się z nami e-mail: szkolenia@securitum.pl, tel.: (12) 36 13 337
Formularz zgłoszeniowy
Wypełnij formularz, aby zapisać się na szkolenie.
Prowadzący: Grzegorz Tworek
Grzegorz Tworek – Specjalista IT w drugim pokoleniu. Od wielu lat aktywnie promuje idee związane z bezpieczeństwem informatyki, zwłaszcza w powiązaniu z systemami Microsoft. Autor artykułów i książek na temat security, prelegent i ekspert na wszelkich konferencjach, od studenckich po BlackHat. W czasie ponaddwudziestoletniej kariery zawodowej zarządzał czterema zbudowanymi od podstaw zespołami ekspertów IT Security, napisał dziesiątki narzędzi, znajdował bugi w kodzie systemów Windows, jednych hackerów wsadzał do więzienia a innych z niego wyciągał. Dwanaście razy nagradzany przez Microsoft tytułem Most Valuable Professional.
