Разработка наступательных инструментов безопасности под Windows (часть 1, 2023) [Signal Labs]

Складчина: Разработка наступательных инструментов безопасности под Windows (часть 1, 2023) [Signal Labs]

Курс по современным методам разработки кастомных систем управления и контроля (C2), имплантации и пост-эксплуатации под Windows на языке программирования Rust.

• Погрузитесь в разработку инструментов наступательной безопасности на высоком и низком уровнях с использованием языка программирования Rust;
• Создавайте пользовательские загрузчики, руткиты ядра, импланты гипервизоров и многое другое.

Для кого предназначен этот курс:

• Команды Red/Purple, желающие изучить продвинутые методы: использование руткитов ядра для пост-эксплуатации, методы обхода EDR и антивирусов, методы охоты за 0-day уязвимостями, способствующими повышению привилегий;
• Специалисты информационной безопасности, желающие отказаться от использования сторонних инструментов и разрабатывать свои собственные C2-фреймворки и импланты, включая разработку собственных модулей для задач пост-эксплуатации (снятие дампов памяти, поиск векторов повышения привилегий, обеспечение закрепления на долговременной основе, кейлоггинг и т.д.);
• Специалисты информационной безопасности, использующие коммерческое программное обеспечение (например, Cobalt Strike) и желающие разрабатывать свои собственные модули для расширения или модификации его возможностей, в основном для целей уклонения или добавления функциональности и техник, не включенных в подобные инструменты;
• Курс подходит как для начинающих, так и для специалистов среднего уровня, при этом некоторые особенно продвинутые концепции (blue-pill гипервизоры, охота на 0-day уязвимости для red teamer-ов) представлены в простой для понимания форме.

Цели и задачи обучения:

• По завершении обучения вы овладеете навыками программирования собственного фреймворка для проведения red team мероприятий, включая разработку кастомных систем управления и контроля (C2) и имплантов с использованием защищенных коммуникаций и возможностью расширения функциональности посредством модулей;
• Вы получите опыт разработки кастомных пост-эксплуатационных модулей для снятия дампов памяти и выполнения типовых задач пост-эксплуатации, а также овладеете методами обхода/уклонения от EDR/антивирусов, безопасного извлечения данных по зашифрованным каналам связи в целях предотвращения рисков конфиденциальности или безопасности во время наступательных операций;
• Вы узнаете о некоторых передовых техниках, используемых высококвалифицированными APT-группировками (например, blue-pill гипервизоры, поиск и эксплуатация быстрых 0-day уязвимостей для повышения привилегий).

Предварительные требования для обучения:

• Для получения максимальной отдачи от курса вам желательно владеть базовыми навыками программирования на языках C/C++, но это не является обязательным требованием;
• Windows 10 или 11;
• Visual Studio Community 2019+ с установленными пакетами "Desktop development with c++" и ".NET desktop development", а также "Windows 11 WDK".

Содержание курса
Этот курс посвящен разработке кастомных инструментов для проведения кампаний в области наступательной безопасности на уровнях пользователя, ядра и гипервизора. Мы напишем свой собственный кастомный код на языке программирования Rust с нуля. В процессе будут раскрыты следующие темы: высокоуровневое проектирование нашего кода, пошаговые инструкции по процессу разработки нашего кастомного кода, включая наши собственные COFF-загрузчики на базе Rust, модули анти-EDR, сервер и агенты C2, руткиты ядра, импланты гипервизора и многое другое.

1) Базовая теория

• Методология и подходы (плейбуки, жизненные циклы атак, APT-группировки);
• Анализ качества и планирование (готовый к продакшену код/общедоступный код исследователей в области информационной безопасности vs обезвреженная малварь vs коммерческие инструменты vs кастомные инструменты);
• Операционные проблемы (операционная безопасность (OpSec), логирование и трекинг артефактов, метаданные имплантов);
• Анализ известных вредоносных программ и их методов (буткиты и руткиты, многоступенчатые импланты, необычные C2-методы, шифрование и ротация ключей и т.д.).

2) Внутреннее устройство Windows

• Привилегии программного и аппаратного обеспечения (панели управления (CPLs), кольца защиты Windows, уровни привилегий, токены, VMX/SVM Root/Non-Root);
• Переходы между пользователем и ядром, ввод-вывод устройств, подкачка;
• Механизмы межпроцессного взаимодействия (общая память, RPC, каналы и т.д.);
• Анализ формата PE32/32+ и преобразование исходного кода или шелл-кода в скомпилированный двоичный код;
• Подсистемы Windows и начальный реверс-инжиниринг;
• Хотпатчинг (например, Hooks/Detours, AppInit/AppCert DLLs и т.д.).

3) Разработка модуля

• Настройка среды разработки (проблемы с OpSec);
• Создание собственного GetProcAddress (парсинг PEB | поиск модулей в памяти | безопасность потоков | форматы PE32/PE32+);
• Создание собственного COFF-загрузчика;
• Техники и анализ внедрения в различные процессы (дублирование объектов | секции с отображением в памяти | без потоков);
• Обходы EDR (продвинутый анхукинг с использованием техник дизассемблирования в памяти);
• Создание кастомного MiniDumper-а на базе Rust (PssWalk* Apis, токены и многое другое);
• Техники обфускации трассировки стека

4) C2 и операционное управление

• Создание наших проектов имплантов, агентов и сервера;
• Использование HTTP/2 и gRPC с Protobuf и Serde;
• Мониторинг активов (с VirusTotal API);
• Прокси, перехват/stripping SSL, классификация и способы обхода.

5) Техники на уровне ядра и гипервизора

• Среда разработки ядра и настройка отладки
• Создание кастомного драйвера защиты с использованием Rust
• Создание нашего собственного кастомного Blue-Pill гипервизора с нуля (Intel VMX)

Тип перевода: перевод с английского языка на русский и озвучивание
Название материала в оригинале: Offensive Tool Development
Дата релиза: 2023
Объем оригинала: ~40+ часов
Объем перевода первой части: ~61 минута
Формат: видео, без субтитров

Цена 18000 руб
Скрытая ссылка