12月5日,京麒国际安全峰会的培训日即将开启,京东安全联合全球知名的安全组织 OWASP,以及业界社区伙伴,推出了针对企业安全工程师的安全培训成长训练营——Red Team 终极训练营。
所谓不知攻焉知防,此次培训将还原真实环境中的安全攻防技术和实践,讲解企业内网全面信息搜集,模拟内网高级攻击,如何攻击溯源和取证等,以及如何针对内部网络进行侦察、权限维持、横向移动等操作。以及分析现有APT组织数据窃取、回传的方法。通过课程学习,学员可以快速掌握如何发现企业内部敏感信息的异常行为,及时发现企业内部系统哪里存在薄弱点。
敲黑板:Red Team 终极训练营课程大纲如下:
一、整体信息刺探搜集,定位敏感人员
1.活动目录中域名信息收集以及管理员权限配置不当导致的DNS滥用(这里会讲解如何通过持续监控内网的DNS,新发现/跟踪变更内网的资产)
2.Linux/windows/OSX)上通过IPC$/LDAP/WMI/RPC等收集信息的方法(这里会分享一个在内网信息收集时规避IDS的方法)
3.内网进行跨域/跨森林/跨网段进行收集信息的方法(案例分享:一次针对大型跨国公司的信息收集,也会快速讲解windows 森林环境的信任关系,认证机制)
4.通过Exchange来收集域内账户信息,识别exchange的安全配置,外网通过一个账 户来抓所有内网帐号的信息。(这里会对已公布的APT组织对exchange的攻击方法的进行梳理和总结)
5.在Win/Linux/操作系统上定位关键PC,定位关键人物的思路.(这里也会讲解在拿 到DC后,如果寻找关键的PC和人的方法并有DEMO)
6.webs hell或通过钓鱼,邮件攻击获取到了一个低权限的cmdshell的场景)
二、权限维持、横向移动
1.对已经公开的APT组织的搭建C2平台的方法进行提炼和改进(重点讲解C2的隐 藏方式,例如利用domain fronting,多重代理,SMTP/DNS/HTTP重定向等方法)
2.域权限维持(真实环境中的难点,最好的权限维持方法我想都是不公开的,没有被发现的,公开了就有相应的检测方法,怎么能够长期稳定的维持权限是实际渗透中的难点,这里只是讲解国外的一些公开的最新技术和已知的方法,这部分仅仅作为思路指引,也可以作为 课后的学员之间的思路讨论)
3.Skeleton KEY的利用方式
SeEnableDelegationPrivilege 活动目录后门
滥用AdminSDHolder的保护机制实现权限维持
滥用DCShadow实现森林权限维持
三、活动目录监控和检测
1.日志分析技巧和可视化日志分析(这里会分享如何处理/分析日志里各个时区的 时间问题,也会讲解如何命令下按照条件抓取日志的方法)
2.滥用信任关系(跨森林的信任关系,森林间的横向移动,sid history, SQL SERVER之间的信任关系)
3.通过对某些软件的token留存,replay token,过期设置实现关键账户的权限维持(尤其是涉及到云平台的软件)
四、活动目录监控和检测
1.利用活动目录作为C2,实现绕过防火墙的通信
2.MS-RPRN打印bug的利用
3.利用BloodHound获取当前活动目录的DACL信息
4.利用KOADIC/ Empire进行杀软的逃逸,脚本类的相对PE文件还是好做免杀和软件白 名单逃逸
利用无约束的授权
委托的利用
五、经验谈
1.和其他队员协同渗透的方式,包括如何做好时间点,milestone,攻击路径等记录
2.对现在的防护产品的功能梳理(比如LAPS,应用白名单,高级威胁检测分析软 件,EDR), 了解现状防护产品的现状
3.分享一个现在某世界500强的网络情况和防护措施,比如对其如何对关键服务的认证。粗略讲解下BeyondCorp的概念
4.简单打开突破口的方式(对邮件网关的安全测试,邮件怎么发?,怎么确定对方收到?)
5.讨论,答疑,案例分享。
本次培训的讲师Dirk,是拥有十几年年网络安全从业经验的资深安全专家,多年一线红蓝对抗工作经验,现任某外企Red Team负责人,并担任多家金融机构安全顾问。Drik精通内网渗透和云安全,擅长 APT 攻击流程手法,多次参加HITB、等国际知名安全会议Speaker,在exploit-db发表过多篇技术论文。
本次培训活动联合组织者,OWASP 北京分会负责人、某医疗大数据企业安全负责人张坤,表示:之所以联合京麒国际峰会共同举办Red Team 终极训练营,一面是京麒峰会致力于打造互联网企业安全从业者交流和分享的开放的平台。另一方面作为一个从业十年的安全人员,了解行业现状,知悉企业需求,针对网络安全现状内网安全日益紧迫,企业需要大量高质量内网安全人员。京麒峰会希望能够共同为社区做更多贡献,培养更多安全人才。
2019京麒国际安全峰会(简称京麒峰会),是京东安全主办、国内外多家安全社区协办的国际顶级安全交流平台,将于12月5-6日在北京新云南皇冠假日酒店举行。届时,苹果史诗级漏洞发现团队核心Nikias Bassen、横扫全球安全顶级会议的演讲者Anh Quynh Nguyen,AI 安全专家李康、腾讯玄武实验室负责人于旸、国内最大安全大赛Geekpwn 发起和创办人、Keenteam 公司创始人兼 CEO 王琦,以及京东、滴滴、腾讯、瓜子二手车、国内外知名公司的CISO、安全专家等,将汇聚北京,为观众讲解在网络技术快速迭代变化的情况下,如何能够捍卫网络安全,捍卫广大用户对企业的信任。
据了解,近两年,随着网络安全法的出台,网络安全升级为一级学科,网络安全专业人才数量不断增长,但是具有攻防实践能力的安全人才缺口仍然很大。专家表示,有针对性的企业安全实战型人才培养,将会对行业起到很大促进作用。
培训报名链接:https://www.huodongxing.com/event/5518114866900
来源:freebuf.com 2019-11-14 06:15:03 by: 京东安全
请登录后发表评论
注册