WPROWADZENIE W TEMATYKĘ RED TEAM I ADVERSARY EMULATION

• Jak przebiega rzeczywisty cyberatak?

• MITRE ATT&CK w realnych scenariuszach cyberataków

ĆWICZENIA PRAKTYCZNE

#1 Podstawowe umiejętności

• Kopiowanie plików pomiędzy systemami Linux i Windows z linii komend

• Zestawianie Bind Shell pomiędzy systemami Windows i Linux

• Zestawianie Reverse Shell pomiędzy systemami Windows i Linux

• Ćwiczenie dodatkowe: Tunelowanie komunikacji sieciowej w SSH

#2 Przykład włamania do serwera Web z użyciem Webshell, przejęcie poświadczeń z LSASS oraz administracyjny dostęp do kontrolera domeny metodą Pass-the-Hash

• File and Directory Discovery, T1083 - Dirb

• Network Share Discovery, T1135 - CrackMapExec, SmbClient

• Lateral Tool Transfer, T1570 - SmbClient

• Server Software Component: Web Shell, T1505.003 - aspx-reverse-shell

• Exploitation for Privilege Escalation, T1068 - PrintSpoofer exploit

• OS Credential Dumping: LSASS Memory T1003.001 - Procdump, Pypykatz

• Pass the Hash T1550.002 - Impacket (Psexec.py)

#3 Ćwiczenia praktyczne – Rekonesans i techniki popularne w rzeczywistych cyberatakach

• File and Directory Discovery, T1083 - Dirb, Gobuster

• System Information Discovery, T1082 - Net user, Adfind

• Network Service Scanning, T1046 - Nmap

• Network Share Discovery, T1135 - CrackMapExec, SmbClient, SmbMap

• Malicious File, T1204.002 - Metasploit, Msfvenom, PowerShell

• OS Credential Dumping: LSASS Memory, T1003.001 - CrackMapExec, Procdump, Pypykatz, Mimikatz

• OS Credential Dumping: Security Account Manager, T1003.002 - Crackmapexec, PsExec, Reg Save, Impacket (Secretsdump.py)

• Pass the Hash, T1550.002 - Impacket (Wmiexec.py, Smbexec.py, Psexec.py), CrackMapExec, Evil-winrm

#1 Ataki exploit i cyberataki w środowisku Active Directory

• Z czego składa się atak exploit?

• Narzędzia i zasady użycia Metasploit

• Cyberataki w środowisku Active Directory

#2 Ćwiczenia praktyczne – Popularne techniki cyberataków w środowisku Active Directory

Scenariusz 1. Włamanie do serwera Windows z użyciem exploit na podatność, zebranie poświadczeń i przejęcie kontrolera domeny

• Network Share Discovery, T1135 - CrackMapExec

• Exploitation of Remote Services, T1210 - Metasploit

• OS Credential Dumping: LSASS Memory, T1003.001 - CrackMapExec

• OS Credential Dumping: Security Account Manager, T1003.002 - Crackmapexec

• Pass the Hash, T1550.002 - Impacket (Psexec.py)

• OS Credential Dumping: NTDS, T1003.003 - Impacket (secretsdump.py)

Scenariusz 2. Włamanie do kontrolera domeny przez exploit na podatność, przejęcie poświadczeń i dostęp do innych serwerów w domenie

• Exploit 1. Podatność MS17-010 Eternal (CVE-2017-0144)

• Exploit 2. Podatność Zerologon Vulnerability (CVE-2020-1472)

• Exploit 3. Podatność Print Nightmare (CVE-2021-1675)

• Exploit 4. Podatność Exchange ProxyLogon (CVE-2021-26855

#1 Analiza śladów cyberataków z użyciem narzędzi Live Forensics i Threat Hunting dostępnych w zabezpieczeniach Endpoint Detection and Response (EDR)

#2 Opcjonalnie analiza śladów cyberataków z użyciem narzędzi dostępnych w zabezpieczeniach Next-Generation Firewall

#3 Techniki dodatkowe

• Rejestrowanie i analiza ruchu sieciowego z użyciem Wireshark

• OSINT w Red Team