Poziom zaawansowania:
Prowadzący: Grzegorz Tworek
Miejsce i data:
  • zdalnie: 30-31.03.2023
Cena: cena edycji zdalnej 2499 PLN netto

Uwaga: szkolenie prowadzone w wersji zdalnej.

Praktyczne szkolenie pokazujące realne problemy z bezpieczeństwem systemów Windows. Szkolenie zawiera około 60% ćwiczeń. W formie warsztatowej wskazywane są aktualne metody ataków na sieci Windows oraz wskazywane są metody ochrony. Szkolenie przeznaczone jest dla administratorów, osób monitorujących bezpieczeństwo sieci, pentesterów czy architektów bezpieczeństwa.

Architektura systemu

  • Kernel / User -mode
  • Procesy i wątki
  • Serwisy systemowe
  • Pamięć
  • Filesystemy
  • Sieciowość
  • Rejestr Windows

Model bezpieczeństwa

  • Tokeny i tożsamość (kontekst) obiektów i. Idea ii. Kradzież tokenu iii. Budowanie tokenów iv. Kontekst LOCALSYSTEM
  • ACLe i. Sposób działania ii. Omijanie ACLi iii. ACLe dla obiektów innych niż pliki
  • Przywileje systemowe i. Użycie przywilejów systemowych do eskalacji uprawnień

Kryptografia w Windows

  • DPAPI
  • DPAPIng
  • BitLocker
  • Nieautoryzowane rozszyfrowywanie danych

Poświadczenia tożsamości (credentials)

  • Pozyskiwanie hashy (lokalnie i z AD)
  • Pozyskiwanie danych uwierzytelniających z mechanizmów zapisywania poświadczeń przez aplikacje
  • Pozyskiwanie danych uwierzytelniających z transmisji sieciowej (SMB, SQL, https)
  • Kradzież i budowanie tokenów (uzupełnienie do #2.a powyżej)
  • Pozyskiwanie poświadczeń z pamięci operacyjnej
  • Pass-the-Hash
  • „Cached credentials”

Ataki offline

  • Wykradanie danych (read only) i. Techniki dostępu offline, w tym do snapshotów plików w działającym systemie ii. Pozyskiwanie zawartości rejestru iii. Pozyskiwanie zawartości AD iv. Dostęp do danych szyfrowanych / kluczy
  • Modyfikacje środowiska (read / write) i. Edycja rejestru ii. Zarządzanie użytkownikami iii. Ataki bazujące na utilman.exe iv. Inne techniki infekcji w trybie offline
  • Serwisy systemowe
  • DLLe
  • Autostarty

Wbudowane mechanizmy zdalnego dostępu

  • WMI
  • WinRM
  • Services API
  • RDP
  • SMB

Ataki na procesy

  • Ataki oparte o DLL
  • Wstrzykiwanie wątków
  • Przechwytywanie wywołań systemowych (API Hooking)
  • Ataki na pamięć

Internet Information Services

  • Model działania
  • Użycie ataków na aplikacje webowe do przejęcia kontroli nad systemem
  • Zacieranie śladów i omijanie typowych zabezpieczeń

Bezpieczeństwo Active Directory

  • Ataki wykorzystujące Kerberos
  • Podatności związane z uprawnieniami w usłudze katalogowej
  • Podatności związane z hasłami w GPO/GPP
  • Ataki wykorzystujące plik ntds.dit
  • DCSync

SQL Server jako wektor ataku

PowerShell

  • Podstawy języka i środowiska
  • Dostęp do .NET i Win32 API
  • Omijanie zabezpieczeń przed złośliwymi skryptami
  • Narzędzia oparte o PowerShell (w tym PowerSploit)

Pozostałe informacje

Szkolenie prowadzone jest obecnie w wersji zdalnej, według tego samego programu co szkolenia stacjonarne, uczestnicy wykonują te same ćwiczenia a instruktor jest do dyspozycji uczestników przez cały czas trwania szkolenia. Do szkolenia wymagany jest laptop z dowolnym systemem operacyjnym (wymagany VirtualBox, minimum 15 GB wolnego miejsca na HDD i 4 GB wolnej pamięci RAM), stabilny internet i słuchawki z mikrofonem.

Cena szkolenia

Cena katalogowa dwudniowego szkolenia wynosi 2499 PLN netto / osobę

  • Udział w szkoleniu i dostęp do platformy szkoleniowej.
  • Certyfikat ukończenia szkolenia (PDF).

Kontakt

Więcej informacji można uzyskać kontaktując się z nami e-mail: szkolenia@securitum.pl, tel.: (12) 36 13 337

Formularz zgłoszeniowy

Wypełnij formularz, aby zapisać się na szkolenie.

Prowadzący: Grzegorz Tworek

Grzegorz Tworek – Specjalista IT w drugim pokoleniu. Od wielu lat aktywnie promuje idee związane z bezpieczeństwem informatyki, zwłaszcza w powiązaniu z systemami Microsoft. Autor artykułów i książek na temat security, prelegent i ekspert na wszelkich konferencjach, od studenckich po BlackHat. W czasie ponaddwudziestoletniej kariery zawodowej zarządzał czterema zbudowanymi od podstaw zespołami ekspertów IT Security, napisał dziesiątki narzędzi, znajdował bugi w kodzie systemów Windows, jednych hackerów wsadzał do więzienia a innych z niego wyciągał. Dwanaście razy nagradzany przez Microsoft tytułem Most Valuable Professional.