Корпоративні лабораторії 2016 — практична підготовка в області інформаційної безпеки



В сучасних реаліях цифрового світу необхідно мати актуальними знаннями у питанні забезпечення інформаційної безпеки для побудови максимально ефективного захисту інфраструктури. Для цього необхідно мати знання і навички побудови систем захисту, так і практичний досвід компрометації сучасних інформаційних систем.

В рамках програми навчання Корпоративні лабораторії ми розглядаємо сучасні сценарії атак і методи протидії, а також комбінацію старих векторів атаки для створення нових сценаріїв компрометації. Теоретична частина програми навчання корелює зі спеціально створеної лабораторії для закріплення отриманих навичок на практиці.

У корпоративних лабораторіях ми намагаємося охопити спектр сучасних загроз — від атаки периметра (web, мережеві ресурси, соціальна інженерія), до пост-експлуатації — підвищення привілеїв, технік просування всередині скомпрометованої системи і приховування слідів. Завершальним етапом слід виявлення атак, проведення заходів, спрямованих на фіксацію атаки, ліквідацію її наслідків і збір доказової бази.

В якості прикладу наші фахівці підготували кілька коротких відеороликів, які розкривають цікаві прийоми з області практичної інформаційної безпеки.

Комбіновані атаки на веб-програми
Атака на мережеву інфраструктуру зазвичай починається з зовнішнього периметру, і одним з перших об'єктів атаки стає веб-сайт або веб-додаток компанії.

Іноді сукупність простих, на перший погляд, вразливостей може призвести до серйозних наслідків. У цьому відео ми розглянемо як можна об'єднати Cross Site Request Forgery та Cross Site Scripting для проведення атаки на веб-додаток.



Огляд фреймворку для пост-експлуатації PowerShell Empire
Після отримання доступу до однієї з машин в мережі зловмисники можуть спробувати підняти привілеї і спробувати використовувати атакованную машину в якості плацдарму для просування всередину мережі або для збирання критичних даних.

Відео представляє з себе практичний приклад роботи з фреймворком PowerShell Empire. Відразу після отримання агента здійснюється спроба обходу UAC, потім, після отримання ще іншого агента (із зміненими привілеями) в оперативну пам'ять жертви завантажується в модуль, що представляє із себе реалізацію mimikatz, що дозволяє витягти чутливі дані (хеш) з локальної бази SAM. У завершенні використовується модуль для закріплення на скомпрометованої системи, який додає нового локального користувача і додає його в групу локальних адміністраторів.



Пост-експлуатація Linux-систем
Частка Linux машин як в корпоративному середовищі, так і в приватній стає відчутно вагомою, тому вектор атак на ці системи суттєво виріс за останній час.

В даному відео показано один з найпростіших варіантів пост-експлуатації мережі, що складається з двох Linux-систем. Показано застосування наступних програм/скриптів: Linux_Exploit_Suggester — здійснює аналіз системи в якій запущений. З бази актуальних вразливостей отримує інформацію про уразливість даної системи (для ОС і ядра). Brootkit — простий rootkit, написаний на bash, RopeADope — чистка лог файлів, sucrack — утиліта для брутфорса пароля локальних користувачів.



Аналіз зараженої робочої станції
По тим чи іншим причинам комп'ютер може бути інфікований шкідливим програмним забезпеченням і буває необхідно провести заходи щодо його ідентифікації та аналізу (наприклад, для збору доказової бази або в рамках заходів з розслідування кіберзлочинів).

В даному ролику розглянуто прийоми ідентифікації шкідливого програмного забезпечення (Zeus Bot) в образі зараженої машини з допомогою Volatility Framework.



Досвід наших співробітників дозволяє ефективно підвищити рівень знань фахівців, що проходять навчання в Корпоративних лабораторіях, а їх формат (20% вебінарів і 80% практики) дозволяє вибудувати процес навчання максимально ефективно.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.