دوره SANS SEC 504

SEC504.1: Incident Handling Step-by-Step and Computer Crime Investigation

Topics

Preparation

• Building an incident response kit
• Identifying your core incident response team
• Instrumentation of the site and system

Identification

• Signs of an incident
• First steps
• Chain of custody
• Detecting and reacting to insider threats

Containment

• Documentation strategies: video and audio
• Containment and quarantine
• Pull the network cable, switch and site
• Identifying and isolating the trust model

Eradication

• Evaluating whether a backup is compromised
• Total rebuild of the Operating System
• Moving to a new architecture

Recovery

• Who makes the determination to return to production?
• Monitoring to system
• Expect an increase in attacks

Special Actions for Responding to Different Types of Incidents

• Espionage
• Inappropriate use

Incident Record-keeping

• Pre-built forms
• Legal acceptability

Incident Follow-up

• Lessons learned meeting
• Changes in process for the future

  SEC504.2: Computer and Network Hacker Exploits – Part 1

Topics

Reconnaissance

• What does your network reveal?
• Are you leaking too much information?
• Using forward and reverse Whois lookups, ARIN, RIPE, and APNIC
• Domain Name System harvesting
• Data gathering from job postings, websites, and government databases
• Recon-ing
• Pushpin
• Identifying publicly compromised accounts
• Maltego
• FOCA for metadata analysis
• Aggregate OSINT data collection with SpiderFoot

Scanning

• Locating and attacking personal and enterprise Wi-Fi
• Identifying and exploiting proprietary wireless systems
• Rubber Duckie attacks to steal Wi-Fi profiles
• War dialing with War-VOX for renegade modems and unsecure phones
• Port scanning: Traditional, stealth, and blind scanning
• Active and passive operating system fingerprinting
• Determining firewall filtering rules
• Vulnerability scanning using Nessus and other tools
• Distributing scanning using cloud agents for blacklist evasion

Intrusion Detection System (IDS) Evasion

• Foiling IDS at the network level
• Foiling IDS at the application level: Exploiting the rich syntax of computer languages
• Web Attack IDS evasion tactics
• Bypassing IDS/IPS with TCP obfuscation techniques

Enumerating Windows Active Directory Targets

• Windows Active Directory domain enumeration with BloodHound, SharpView
• Windows Command and Control with PowerShell Empire
• Operating system bridging from Linux to Windows targets
• Defending against SMB attacks with sophisticated Windows networking features

  SEC504.3: Computer and Network Hacker Exploits – Part 2

Topics

Physical-layer Attacks

• Clandestine exploitation of exposed USB ports
• Simple network impersonation for credential recovery
• Hijacking password libraries with cold boot recovery tools

Gathering and Parsing Packets

• Active sniffing: ARP cache poisoning and DNS injection
• Bettercap
• Responder
• LLMNR poisoning
• WPAD attacks
• DNS cache poisoning: Redirecting traffic on the Internet
• Using and abusing Netcat, including backdoors and insidious relays
• IP address spoofing variations
• Encryption dodging and downgrade attacks

Operating System and Application-level Attacks

• Buffer overflows in-depth
• The Metasploit exploitation framework
• AV and application whitelisting bypass techniques

Netcat: The Attacker’s Best Friend

• Transferring files, creating backdoors, and shoveling shell
• Netcat relays to obscure the source of an attack
• Replay attacks

Endpoint Security Bypass

• How attackers use creative office document macro attacks
• Detection bypass with Veil, Magic Unicorn
• Putting PowerShell to work as an attack tool
• AV evasion with Ghostwriting
• Attack tool transfiguration with native binaries

  SEC504.4: Computer and Network Hacker Exploits – Part 3

Topics

Password Cracking

• Password cracking with John the Ripper
• Hashcat mask attacks
• Modern Windows Pass-the-Hash attacks
• Rainbow Tables
• Password guessing and spraying attacks

Web Application Attacks

• Account harvesting
• SQL Injection: Manipulating back-end databases
• Session cloning: Grabbing other users’ web sessions
• Cross-site scripting

Denial-of-Service Attacks

• Distributed Denial of Service: Pulsing zombies and reflected attacks
• Local Denial of Service

  SEC504.5: Computer and Network Hacker Exploits – Part 4

Topics

Maintaining Access

• Backdoors: Using Poison Ivy, VNC, Ghost RAT, and other popular beasts
• Trojan horse backdoors: A nasty combo
• Rootkits: Substituting binary executables with nasty variations
• Kernel-level Rootkits: Attacking the heart of the Operating System (Rooty, Avatar, and Alureon)

Covering the Tracks

• File and directory camouflage and hiding
• Log file editing on Windows and Unix
• Accounting entry editing: UTMP, WTMP, shell histories, etc.
• Covert channels over HTTP, ICMP, TCP, and other protocols
• Sniffing backdoors and how they can really mess up your investigations unless you are aware of them
• Steganography: Hiding data in images, music, binaries, or any other file type
• Memory analysis of an attack

Putting It All Together

• Specific scenarios showing how attackers use a variety of tools together
• Analyzing scenarios based on real-world attacks
• Learning from the mistakes of other organizations
• Where to go for the latest attack info and trends

  SEC504.6: Hacker Tools Workshop

Topics

Hands-on Analysis

• Nmap port scanner
• Nessus vulnerability scanner
• Network mapping
• Netcat: File transfer, backdoors, and relays
• Microsoft Windows network enumeration and attack
• More Metasploit
• Exploitation using built in OS commands
• Privilege escalation
• Advanced pivoting techniques

1

تأمین امنیت زیرساختها کار پیچیده ای برای متعادل کردن نیازهای تجاری در برابر خطرات امنیتی است. با کشف نقاط ضعف امنیتی جدید تقریباً بطور روزانه، همیشه امکان نفوذ وجود دارد.

علاوه بر مزاحمت های آنلاین، حوادث فیزیکی مانند آتش سوزی، سیل و جرم، همگی نیاز به یک روش بی نقص برای رویارویی با حادثه دارند تا بتوانند سیستم ها و خدمات را به سرعت به صورت آنلاین بازگردند.

قسمت اول این بخش درسی به بررسی مدل گام به گام ارزشمند رویارویی می پردازد، که از طریق یک پروسه منتخب با کمک افراد خبره در مدیریت حادثه از شرکتها، ادارات دولتی و مؤسسات آموزشی مختلف ایجاد شده اند و موثر بودن آن در صدها سازمان اثبات شده است. این بخش به گونه ای طراحی شده است که دانش آموزان بتوانند آشنایی کاملی با فرآیند رسیدگی به حادثه را با استفاده از شش مرحله (آماده سازی، شناسایی، مهار، ریشه کن سازی، بهبودی و آموخته های بدست آمده) که باید برای آمادگی و مقابله با یک حادثه رایانه ای دنبال شود، به دانشجویان ارائه دهند.

قسمت دوم این بخش به بررسی مطالعه های موردی می پردازد تا بفهمد در شناسایی مهاجمین رایانه چه کاری مفید و چه کاری غیر مفید است. در این بخش اطلاعات ارزشمندی درمورد اقداماتی که مدیر سیستم می تواند برای افزایش شانس تعقیب و محاکمه ی متجاوزان انجام دهد، ارائه می شود.

2

نشت اطلاعات به ظاهر بی ضرر از شبکه شما می تواند سرنخ مورد نیاز یک مهاجم را فراهم کند تا سیستم های شما را بطور گسترده ای باز کند. این بخش از دوره ها شامل جزئیات مربوط به شناسایی و اسکن است که دو مرحله اول در بسیاری از حملات رایانه ای هستند.

شبکه های شما مقدار زیادی از اطلاعات را برای مهاجمان بالقوه فاش می کند. مهاجمان علاوه بر اینکه به دنبال نشت اطلاعات و اطلاعات متن باز (OSINT) هستند، اسکن های مفصّلی از سیستم ها را نیز انجام می دهند، و برای باز کردن سد دفاعی شما، از رخنه ها استفاده می کنند.

آنها برای وارد شدن به شبکه شما، اهدافی مانند سیستم های ضعیف DMZ و سیستم عامل های کلید در دست، مودم های نا امن یا سیستم های بی سیم و آسیب پذیر Wi-Fi را مشخص می کنند. مهاجمان به طور فزاینده ای از تکنیک های اسکن کننده انحرافی برای هدف قرار دادن سیستم های در دسترس عمومی و داخلی استفاده می کنند و به دنبال فرصت هایی هستند تا سیاست های امنیتی به ظاهر ایمن که برای محافظت از سیستم ها طراحی شده اند را دستکاری کنند.

یکی دیگر از مناطق بسیار شدید در حملات رایانه ای، شامل اسکن دقیق و بازجویی از دامنه های Active Directory Windows، و شناسایی و دستکاری سیاست های پیکربندی به نفع خودشان است.

اگر مهارت لازم برای درک دقیق این مراحل مهم حمله را نداشته باشید، نمی توانید از شبکه خود محافظت کنید. دانش پژوهانی که این دوره را می گذرانند و مطالب را فرا می گیرند، این حملات و دفاع های مرتبط را درک خواهند کرد. ضروری است که قبل از استفاده از این ابزارها و تکنیک ها در سیستم های سازمان خود، مجوز کتبی از اختیارات مناسب را از طرف سازمان خود اخذ کنید. شما همچنین تیم های عملیات شبکه و رایانه خود را در جریان قرار دهید.

3

مهاجمان رایانه ای در حال از هم پاشی شبکه ها و سیستم های ما را به روش های جدید هستند، در حالی که دائما تکنیک های خود را بهبود می بخشند. این بخش از دوره، گام سوم بسیاری از حملات هکرها را شامل می شود: دسترسی پیدا کردن.

مهاجمان برای تصاحب سیستم ها از سطح شبکه تا سطح برنامه، از استراتژی های مختلفی استفاده می کنند. در این بخش حملات را به صورت عمیق، از جزئیات سرریز بافر و تکنیک های مشترک سوء استفاده از نرم افزار تا آخرین هایجک های پروتکل های ظاهراً ایمن، در بر می گیرد.

علاوه بر این، شما در اجرای اسنیفرها، سوءاستفاده از آسیب پذیری های رایج شبکه ویندوز، استفاده از ابزارهای معمول برای کارآمد کردن داده ها و دور زدن ابزارهای پایانی امنیت سیستم عامل میزبان، تجربه عملی خواهید داشت.

مدیران چنانچه بخواهند به طور مؤثر از این تهاجم ها دفاع کنند، باید توجه بیشتری به نحوه عملکرد حملات و پدافندهای مرتبط با آنها داشته باشند. برای هر حمله، این دوره آسیب پذیری، چگونگی سوء استفاده از ابزارهای مختلف، امضای حمله و نحوه مقاوم سازی سیستم یا برنامه در برابر حمله را توضیح می دهد. دانش آموزانی که فرم اخلاق را امضا می کنند، یک درایو USB حاوی ابزارهای حمله ای که در کلاس بررسی می شوند، دریافت می کنند.

ضروری است که قبل از استفاده از این ابزارها و تکنیک ها در سیستم های سازمان خود، مجوز کتبی از اختیارات مناسب را از طرف سازمان خود اخذ کنید. همچنین تیم های عملیات شبکه و رایانه خود را در جریان قرار دهید.

4

این بخش از دوره با پوشش یکی از تکنیک های مورد علاقه مهاجمین برای به خطر انداختن سیستم ها آغاز می شود: حملات رمز عبور. ما تکنیک های حمله چندگانه اعمال شده در برابر ذخیره و انتخاب رمز عبور، از جمله حدس زدن رمز عبور و حملات اسپری، شکستن رمز عبور و تکنیک های مدرن بازیابی ماسک پسورد را تجزیه و تحلیل خواهیم کرد.

سپس این دوره به یک منطقه مهم دیگر که اغلب توسط مهاجمان مورد سوء استفاده قرار می گیرد تبدیل می شود: برنامه های وب. از آنجا که اکثر برنامه های کاربردی وب سایت های داخلی، امنیت نرم افزارهای تجاری را به دست نمی آورند، مهاجمان این اهداف با استفاده از تزریق SQL، اسکریپت درون سایت، سشن کلونینگ و انواع مکانیسم های دیگر که به تفصیل مورد بحث قرار گرفته اند، سوء استفاده می کنند.

این دوره همچنین یک طبقه بندی از رباتها و حملات بدافزارها، از جمله حملات رمزگذاری و رمزنگاری امروزی را ارائه می دهد. ما روز را با نگاهی به حملات تند و مخرب محروم سازی از سرویس، تمام میکنیم و نشان می دهیم که چگونه مهاجمان می توانند خدمات را متوقف کرده یا منابع خروجی را متوقف کنند، و همچنین آنچه را که شما باید برای جلوگیری از اعمال ناپسند آنها انجام دهید.

هنگامی که افراد متجاوز به یک سیستم دسترسی پیدا کردند، می خواهند این دسترسی را حفظ کنند، و مانع آگاهی مدیران سیستم و پرسنل امنیتی از حضور آنها شوند. برای اینکه شما را فریب دهیم، مهاجمان ابزارهای پشتیبان را نصب می کنند و نرم افزارهای موجود را روی یک سیستم دستکاری می کنند تا دسترسی به دستگاه را طبق شرایط خود حفظ کنند.

برای اینکه شما را فریب دهیم، مهاجمان ابزارهای پشتیبان را نصب می کنند و نرم افزارهای موجود را روی یک سیستم دستکاری می کنند تا دسترسی به دستگاه را طبق شرایط خود حفظ کنند. برای دفاع در برابر این حملات، باید بدانید که چگونه مهاجمین سیستم را تغییر می دهند تا نکات ظریف مرتبط با سازش سیستم را کشف کنند. این دوره شما را با درک و ابزار لازم برای دفاع در برابر دسترسی مهاجمان و پوشش مسیرهای آنها، آماده می کند.

 ضروری است که قبل از استفاده از این ابزارها و تکنیک ها در سیستم های سازمان خود، مجوز کتبی از اختیارات مناسب را از طرف سازمان خود اخذ کنید. شما همچنین تیم های عملیات شبکه و رایانه خود را در جریان قرار دهید.

5

این بخش از دوره گام چهارم و پنجم بسیاری از حملات هکرها را در بر می گیرد: حفظ دسترسی و پوشش ردپایشان. مهاجمان رایانه ای درهای پشتی نصب می کنند، روت کیت ها را اعمال می کنند، و حتی گاهی اوقات شالوده را نیز برای پنهان کردن اعمال ناپسند خود دستکاری می کنند. در این دوره، ما متداول ترین نمونه های کد مخرب را مورد تجزیه و تحلیل قرار داده و روند آینده در بدافزارهای طراحی شده برای مبهم سازی حضور مهاجمان را مورد بررسی قرار میدهیم.

مهاجمان همچنین با پنهان کردن پوشه ها، اسنیفرها، استفاده از شبکه و فرآیندهای فعال، مسیرهای خود را پنهان کنند. علاوه بر این، آنها پروتکل های پیچیده شبکه را برای فرار از سیستم های شکار تهدید و جلوگیری از تحقیقات، دستکاری می کنند. سرانجام، مهاجمان غالباً لاگ های سیستم را بر روی سیستمهای یونیکس و ویندوز تغییر می دهند، و تمام اینها تلاشی است برای اینکه سیستم به خطر افتاده نرمال به نظر برسد. این دوره ابزارها و تکنیک های لازم برای تشخیص و پاسخ به این فعالیت ها را در رایانه و شبکه به شما ارائه می دهد.

ضروری است که قبل از استفاده از این ابزارها و تکنیک ها در سیستم های سازمان خود، مجوز کتبی از اختیارات مناسب را از طرف سازمان خود اخذ کنید. شما همچنین تیم های عملیات شبکه و رایانه خود را در جریان قرار دهید.

6

با گذشت سالها، صنعت امنیت در متوقف کردن هکرها باهوش تر و مؤثرتر شده است. متأسفانه، ابزارهای هکر در حال هوشمند تر و پیچیده تر شدن هستند. یکی از موثرترین روش ها برای متوقف کردن دشمن، در واقع آزمایش محیط با همان ابزارها و تاکتیک هایی است که ممکن است یک مهاجم علیه شما استفاده کند.

این کارگاه به شما امکان می دهد تا آنچه را که طی یک هفته گذشته آموخته اید، عملی کنید. شما به یکی از خصمانه ترین شبکه های روی زمین متصل خواهید شد. این شبکه، اینترنت را شبیه سازی می کند و به دانش آموزان امکان می دهد حملات واقعی را علیه ماشین های زنده امتحان کنند و یاد بگیرند که چگونه از این حملات محافظت کنند. این کارگاه، آموزش کلاس را که دانش آموزان قبلاً دریافت کرده اند را تکمیل می کند و به آنها وسایل حمله و زمان پرواز را می دهد تا بتوانند نحوه کار را بهتر درک کنند. مربی آنها راهنمایی می کند که دقیقاً چه اتفاقی مرتبط با بهره برداری و اقدامات دفاعی در حال رخ دادن است. از آنجا که دانش پژوهان روی بهره برداری های مختلف کار می کنند و به آنها تسلط پیدا می کنند، محیط به طور فزاینده ای دشوار تر می شود، بنابراین دانش پژوهان باید به مهارت های بیشتری تسلط پیدا کنند.

علاوه بر این، دانشجویان می توانند در رویداد Capture-the-Flag در ورکشاپ شرکت کنند. با نفوذ به سیستم ها، کشف نقص های ظریف و با استفاده از تکنیک های حل پازل، می توانید مهارت هایی که در طول هفته ایجاد کرده اید را در این مسابقه جذاب آزمایش کنید. برندگان Capture-the-Flag برنده سکه چالشی SEC504 خواهند شد.