Оператор Red Team: курс продвинутого уровня по разработке вредоносных программ Vol.1 [Sektor7]

[Admin]

Складчина: Оператор Red Team: курс продвинутого уровня по разработке вредоносных программ Vol.1 [Sektor7]

Разработка продвинутых инструментов наступательной безопасности под Windows, включая: скрытое хранение данных, техники руткитов, поиск привилегированных объектов в системной памяти, обнаружение создания новых процессов, генерация и обработка исключений, создание COFFS и кастомных RPC-подобных инструментов, а также многое другое.
В предыдущем курсе среднего уровня сложности мы рассмотрели некоторые темы, связанные с разработкой инструментов наступательной безопасности. На этот раз мы сосредоточимся на расширении полезной нагрузки с помощью дополнительных техник и методов в пользовательском пространстве. Какие темы будут затронуты:

• способы скрыть полезную нагрузку в NTFS и registry hive
• изучение альтернатив перечисления объектов в системной памяти
• манипулирование блоками операционного окружения процессов с целью сокрытия модуля и запутывания потенциально работающего Windows Defender
• поиск .NET-процесса с RWX-памятью, подходящего для абьюза
• обнаружение создания нового процесса (из пользовательской среды)
• настройка глобальных хуков
• изучение нескольких руткит-техник в рамках пользовательского пространства для сокрытия файлов, ключей реестра и процессов
• злоупотребление памятью и аппаратными точками останова для хукинга
• сокрытие полезной нагрузки с помощью Gargoyle и аналогичные техники
• создание кастомного "RPC", позволяющего вызывать любую функцию API с любым количеством параметров в удаленном процессе
• изучение объектов COFF: как собирать, парсить, загружать и выполнять их в памяти

Курс заканчивается созданием пользовательского проекта, в котором используются некоторые из рассмотренных методов.

Для просмотра скрытого содержимого необходимо Войти или Зарегистрироваться.