В современных реалиях цифрового мира необходимо обладать актуальными знаниями в вопросе обеспечения информационной безопасности для построения максимально эффективной защиты инфраструктуры. Для этого необходимо иметь знания и навыки как построения систем защиты, так и практический опыт компрометации современных информационных систем.
В рамках программы обучения Корпоративные лаборатории мы рассматриваем современные сценарии атак и методы противодействия, а также комбинацию старых векторов атаки для создания новых сценариев компрометации. Теоретическая часть программы обучения коррелирует со специально созданной лабораторией для закрепления полученных навыков на практике.
В корпоративных лабораториях мы стараемся охватить спектр современных угроз — от атаки периметра (web, сетевые ресурсы, социальная инженерия), до пост-эксплуатации — повышения привилегий, техник продвижения внутри скомпрометированной системы и сокрытия следов. Завершающим этапом следует обнаружение атак, проведение мероприятий, нацеленных на фиксацию атаки, ликвидацию ее последствий и сбор доказательной базы.
В качестве примера наши специалисты подготовили несколько коротких видеороликов, раскрывающих интересные приемы из области практической информационной безопасности.
Комбинированные атаки на веб-приложения
Атака на сетевую инфраструктуру обычно начинается с внешнего периметра, и одним из первых объектов атаки становится веб-сайт или веб-приложение компании.
Иногда совокупность простых, на первый взгляд, уязвимостей может привести к серьезным последствиям. В данном видео мы рассмотрим как можно объединить Cross Site Request Forgery и Cross Site Scripting для проведения атаки на веб-приложение.
Обзор фреймворка для пост-эксплуатации PowerShell Empire
После получения доступа к одной из машин в сети злоумышленники могут попытаться поднять привилегии и попытаться использовать атакованную машину в качестве плацдарма для продвижения внутрь сети или для сбора критичных данных.
Видео представляет из себя практический пример работы с фреймворком PowerShell Empire. Сразу после получения агента производится попытка обхода UAC, затем, после получения еще другого агента (с измененными привилегиями) в оперативную память жертвы загружается модуль, представляющий из себя реализацию mimikatz, что позволяет извлечь чувствительные данные (хеши) из локальной базы SAM. В завершении используется модуль для закрепления на скомпрометированной системе, который добавляет нового локального пользователя и добавляет его в группу локальных администраторов.
Пост-эксплуатация Linux-систем
Доля Linux машин как в корпоративной среде, так и в частной становится ощутимо весомой, поэтому вектор атак на эти системы существенно вырос за последнее время.
В данном видео показан один из простейших вариантов пост-эксплуатации сети, состоящей из двух Linux-систем. Показаны применения следующих программ/скриптов: Linux_Exploit_Suggester — осуществляет анализ системы в которой запущен. Из базы актуальных уязвимостей получает информацию об уязвимостях данной системы (для ОС и ядра). Brootkit — простой rootkit, написанный на bash, RopeADope — чистка лог файлов, sucrack — утилита для брутфорса паролей локальных пользователей.
Анализ зараженной рабочей станции
По тем или иным причинам компьютер может быть инфицирован вредоносным программным обеспечением и бывает необходимо провести мероприятия по его идентификации и анализу (например, для сбора доказательной базы или в рамках мероприятий по расследованию киберпреступлений).
В данном ролике рассмотрены приемы идентификации вредоносного программного обеспечения (Zeus Bot) в образе зараженной машины с помощью Volatility Framework.
Опыт наших сотрудников позволяет эффективно повысить уровень знаний специалистов, проходящих обучение в Корпоративных лабораториях, а их формат (20% вебинаров и 80% практики) позволяет выстроить процесс обучения максимально эффективно.
Автор: PENTESTIT