PowerShell: Тактики атакующих [SpecterOps] - Часть 3 из 3

Складчина: PowerShell: Тактики атакующих [SpecterOps] - Часть 3 из 3

PowerShell: Тактики атакующих

Часть 1 | Часть 2 | Часть 3 (вы здесь!)​

Спойлер: Сэмпл перевода

Авторы курса:

Курс от признанных экспертов в области безопасности и разработчиков таких популярных инструментов, как PowerShell Empire, PowerSploit, SharpSploit, BloodHound и множества других.

Matt Graeber (@mattifestation)
Will Schroeder (@harmj0y) - разработчик PowerShell Empire | BloodHound | GhostPack | PowerSploit | Veil-Framework
Chris Ross (@xorrior) - разработчик PowerShell Empire, RemoteRecon


Описание:

Вы узнаете, как настраивать, аудировать, отслеживать и обходить все современные средства противодействия и обнаружения PowerShell. По прохождению курса вы овладеете всеми возможностями современного PowerShell, как с позиций атакующих, ред тимеров и пентестеров, так и в контексте мер обеспечения безопасности от атак с использованием PowerShell.

Содержание:

• Основы PowerShell
• Удаленное взаимодействие PowerShell (PowerShell Remoting)
• PowerShell без PowerShell

Сторонние, альтернативные PowerShell-хосты
Поддерживаемые Microsoft PowerShell-хосты
Непреднамеренные Microsoft PowerShell-хосты
Уклонение от логирования командной строки​

• Windows Management Instrumentation (WMI)

Взаимодействие с WMI
Запросы WMI и обнаружение
Обработка событий
Атаки/защита​

• Active Directory

Взаимодействие с Active Directory
Поисковые фильтры в LDAP
ACL в Active Directory
Командование и управление
PowerView “PowerUsage”​

• Отражение (красным выделено содержание третьей части перевода)

Доступ к / вызов внутренних членов .NET
Загрузка сборок .NET в память
Внутренности Add-Type, отпечаток хоста и стратегии уклонения
Динамическая генерация кода​

• Взаимодействие с функциями Win32 API

P/Invoke и основы Win32 API
Заимствование внутренних методов
PSReflect​

• Предотвращение PowerShell - реализация, аудит и способы обхода

Ограниченный языковой режим
Технология Just Enough Administration (JEA)
Предотвращение downgrade-атак
Anti-malware Scan Interface (AMSI)
Эксплуатация уязвимостей внедрения кода
Подписывание кода и принудительное доверие​

• Обнаружение PowerShell - реализация, аудит и способы обхода

Классический и современные логи событий
Трассировка событий Event Tracing for Windows (ETW)​

• Множество упражнений и лаб в комплекте

Код:

https://www.specterops.io/how-we-help/training-offerings/adversary-tactics-powershell
https://github.com/specterops/at-ps

Спойлер

Объем оригинала: ~385 PDF-слайдов
Объем перевода третьй части: день 3 «Отражение / Взаимодействие с функциями Win32 API» и день 4 «Предотвращение и обнаружение PowerShell»
Тип перевода: перевод на русский
Формат: текст, PDF

 

Только что узнал об этой складчине.
Это перевод общедоступного на гитхабе PDF - или есть ещё какой-то медиаконтент, которого уже нет в паблике?:

 

Перевод PDF c GitHub. Если у вас есть пожелания по переводу иных материалов, обязательно предлагайте мне в личку.