Оператор Red Team: курс продвинутого уровня по разработке вредоносных программ. Том 1 [Sektor7]

Складчина: Оператор Red Team: курс продвинутого уровня по разработке вредоносных программ. Том 1 [Sektor7]

Red Team Operator: Malware Development Advanced - Vol.1
Язык: английский

​

Разработка продвинутых инструментов наступательной безопасности под Windows, включая: скрытое хранение данных, техники руткитов, поиск привилегированных объектов в системной памяти, обнаружение создания новых процессов, генерация и обработка исключений, создание COFFS и кастомных RPC-подобных инструментов, а также многое другое.

В предыдущем курсе среднего уровня сложности мы рассмотрели некоторые темы, связанные с разработкой инструментов наступательной безопасности. На этот раз мы сосредоточимся на расширении полезной нагрузки с помощью дополнительных техник и методов в пользовательском пространстве.

Какие темы будут затронуты:

• способы скрыть полезную нагрузку в NTFS и registry hive
• изучение альтернатив перечисления объектов в системной памяти
• манипулирование блоками операционного окружения процессов с целью сокрытия модуля и запутывания потенциально работающего Windows Defender
• поиск .NET-процесса с RWX-памятью, подходящего для абьюза
• обнаружение создания нового процесса (из пользовательской среды)
• настройка глобальных хуков
• изучение нескольких руткит-техник в рамках пользовательского пространства для сокрытия файлов, ключей реестра и процессов
• злоупотребление памятью и аппаратными точками останова для хукинга
• сокрытие полезной нагрузки с помощью Gargoyle и аналогичные техники
• создание кастомного "RPC", позволяющего вызывать любую функцию API с любым количеством параметров в удаленном процессе
• изучение объектов COFF: как собирать, парсить, загружать и выполнять их в памяти

Курс заканчивается созданием пользовательского проекта, в котором используются некоторые из рассмотренных методов.

Содержание

Спойлер: Программа подробно:

Введение и настройка
Введение в курс. 3 мин.7.08 МБ
Настройка виртуальной машины для разработки. 3 мин.10,9 МБ
RTO-MalDev3.ova
MDA.zip. 1,93 МБ

Углы файловой системы
Затягивание времени. 9 мин.34,7 МБ
Альтернативные потоки данных - Введение. 4 мин.13,6 МБ
Альтернативные потоки данных — реализация. 7 мин.25.1 МБ
Реестровые кусты - Введение. 3 мин.10,9 МБ
Реестр кустов - Реализация. 5 мин.20,9 МБ
EA - Введение. 7 мин.20,3 МБ
EAs - Реализация. 14 мин.55,8 МБ

Перечисление объектов в памяти
Процессы - классический метод. 4 мин.15,6 МБ
Процессы - альтернативы Win API. 6 мин.26.2 МБ
Процессы - альтернативы собственным API. 7 мин.28,7 МБ
Модули - классический метод и альтернативы. 10 мин.46.3 МБ
Дескрипторы (токены, процессы, потоки и т. д.). 22 мин.178 МБ
Поиск .NET. 8 мин.34,2 МБ

Глобальные крючки
Монитор WMI - Введение. 6 мин.20,4 МБ
WMI Monitor - Реализация. 10 мин.37,5 МБ
SetWindowsHookEx — Введение. 6 мин.18.1 МБ
SetWindowsHookEx — реализация. 11 мин.39,5 МБ
Инфраструктура AppInit — Введение. 9 мин.51,2 МБ
Инфраструктура AppInit — Реализация. 6 мин.26.2 МБ

Технология руткитов Userland
Введение и демонстрация. 8 мин.35 МБ
Выполнение. 10 мин.44,2 МБ

Манипуляции с блоками среды процесса
Параметры. 10 мин.60,6 МБ
Списки модулей. 13 мин.74,3 МБ

Зацепление без патча
Страницы охраны - Введение. 8 мин.37,6 МБ
Страницы охраны - Реализация. 8 мин.34,8 МБ
Аппаратные точки останова - Введение. 9 мин.33,3 МБ
Аппаратные контрольные точки - Реализация. 9 мин.35,5 МБ

Скрытие памяти процесса
Горгулья и семья. 22 мин.86 МБ
Экко. 11 мин.46 МБ
NinjaGuard - Ninjasploit за страницами Guard. 4 мин.13.1 МБ
NinjaGuard - Реализация. 7 мин.31,8 МБ
MapBlinker. 4 мин.15.4 МБ
HWBlinker - детище Ninjasploit+MapBlinker+HWBP. 10 мин.41,5 МБ

Пользовательский "RPC"
RtlRemoteCall - Введение. 4 мин.9,81 МБ
RtlRemoteCall - Демо. 7 мин.32,7 МБ
ApiReeKall — вызов любого API в удаленном процессе. 18 мин.81,4 МБ

Общий формат объектного файла
CaFeBiBa - анализатор объектов COFF. 21 мин.98,4 МБ
Мокошь — загрузчик объектов MSVC COFF. 23 мин.125 МБ
Создание пользовательских объектов COFF. 11 мин.45 МБ

Индивидуальный проект
Цели и дизайн. 2 мин.4,61 МБ
Делегирование OpenProcess() через ApiReeKall. 43 мин.206 МБ
Совместимый с Mokosh COFF. 16 мин.100 МБ

Краткое содержание
Заключительные слова. 2 мин.4,05 МБ

Вы узнаете, как

• Скрыть полезные данные в углах NTFS и реестра
• Перечислить процессы, модули и дескрипторы с альтернативами
• Найдите идеальный процесс для инъекции
• Настройте глобальные хуки
• Использовать несколько пользовательских руткит-техник
• Обработчики исключений злоупотреблений
• Скрыть полезную нагрузку в памяти
• Вызов любого API (с любым количеством параметров) в удаленном процессе
• Создание пользовательских объектов COFF

Что вы получите?

• Полноценные видео, подробно объясняющие все техники
• Транскрипция с английскими субтитрами
• Текстовые дополнения с дополнительной информацией (фрагменты кода, определения структур, описание и контекст технологий и т. д.)
• Исходный код с шаблонами кода для быстрой разработки
• Образ виртуальной машины с готовой к использованию средой разработки

Какой язык используется в курсе?
Все видео, тексты и материалы на английском языке.

Спойлер: Оригинал описания:

Red Team Operator: Malware Development Advanced - Vol.1
47 Lessons365-day access

Advanced offensive security tool (OST) development topics for Windows user land only, including: hidden data storage, rootkit techniques, finding privileged objects in system memory, detecting new process creation, generating and handling exceptions, building COFFs and custom RPC-like instrumentation, and more.
Buy now
Welcome to Malware Development Advanced (Vol.1) course!
In the previous Intermediate course we covered some of the more advanced offensive security tools (OST) development topics.

This time we will be focusing on extending your payload with additional userland techniques to bury it in the depths of the system. That includes:
ways to hide your payload inside NTFS and registry hive
learning object enumeration alternatives in the system memory
manipulating Process Environment Blocks to hide your module and confuse the potential defender
finding .NET process with RWX memory ready to abuse
detecting new process creation (from userland)
setting up global hooks
learning few userland rootkit techniques to hide your files, registry keys and processes
abusing memory and hardware breakpoints for hooking
hiding payload with Gargoyle and similar techniques
creating custom "RPC" allowing to call any API function with any number of parameters in a remote process
learning COFF objects, how to build, parse, load and execute them in the memory
The course ends with a custom project, employing some of the discussed techniques.

You will receive a virtual machine with complete environment for developing and testing your software, and a set of source code templates which will allow you to focus on understanding the essential mechanisms instead of less important technical aspects of implementation.

Цена: 23000р. ($239)
Скрытая ссылка