شبکه های شما حجم عظیمی از اطلاعات را به مهاجمان احتمالی نشان می دهد. هکرهای باهوش علاوه بر جستجو برای منابع باز و نشتی اطلاعات، برای عبور از سیستم دفاعی شما، به انجام اسکن های جزئی و دقیقی از سیستم­ها نیز می­پردازند. این افراد برای نفوذ به شبکه شما، متوجه فرصتهایی چون سیستم­های DMZ ضعیف، پلتفرم­های جامع و اصلی، یا Wi-Fi آسیب­پذیر و سیستم­های وایرلس اختصاصی می­باشند. همچنین هکرها از اسکن دقیق و بررسی دامنه­های پیچیده Windows Active Directory ، شناسایی و دستکاری سیاست های پیکربندی، به نفع خودشان استفاده می­کنند. این بخش شامل جزئیات مربوط به مراحل اولیه بسیاری از حملات سایبری است. ما چارچوب های مهمی را برای درک ابزارها، تکنیک ها و شیوه های مهاجمان مدرن از طریق چارچوب MITER ATT&CK معرفی می کنیم و از آن به عنوان نقطه شروع برای بررسی مراحل قبل از حمله که توسط هکرها انجام می­شود، استفاده می کنیم. ما از ابزارهای محلی و مبتنی بر ابر، برای شناسایی موثر سازمانهای موردنظر ، شناسایی افشای اطلاعات که ضعف های توافق اولیه را آشکار می کند، استفاده خواهیم کرد. سپس ما عمیقاً به تکنیک های اسکن، هم از دیدگاه شبکه و هم با تمرکز بر پیچیدگی های Windows Active Directory مدرن، پرداخته و نقشه حمله ای را ارائه می دهیم که دسترسی ویژه­ای به هکرها می­دهد. ما همچنین تکنیک های دفاعی را با استفاده از ابزارهای رایگان و منابع دردسترس عموم، مورد توجه قرار می دهیم که به سازمان شما یک مزیت رقابتی برای شناسایی حملات، می­دهد.

تمرین­

• استفاده از جستجوی پیشرفته در منابع اطلاعاتی آزاد (OSINT) برای شناسایی حملات
• اسکن شبکه Wi-Fi برای نقاط دسترسی آزاد، مخرب و پیکربندی اشتباه
• enumeration و تجزیه و تحلیل سرور با Nmap
• تکنیک های اولویت بندی نتایج اسکن و اسکن آسیب­پذیری
• تکنیک های جمع آوری داده ها و اسکن شبکه ویندوز
• سیستم دفاعی : DeepBlueCLI

مباحث

• معرفی چارچوب MITRE ATT&CK
• تکامل مهاجم و شبکه برای نقشه برداری عملی، تکنیکی و ابزاری (TTP)
• استفاده از چارچوب MITER ATT&CK برای ارزیابی دشمنان باهوش­تر
• نحوه ادغام SEC504 با چارچوب MITER ATT&CK

شناسایی

• شبکه شما چه چیزی را فاش می­کند؟
• آیا اطلاعات زیادی افشا می کنید؟
• استفاده از certificate transparency برای شناسایی سرور پیش-تولید
• برداشت Domain Name System
• جمع آوری اطلاعات از آگهی های شغلی ، وب سایت ها و پایگاه های داده دولتی
• شناسایی حسابهای به خطر افتاده عمومی
• FOCA برای آنالیز فراداده­ها
• جمع آوری داده­های OSINT با SpiderFoot
• تسلط در جستجوهای SHODAN برای کشف هدف

اسکن

• یادگیری تکنیک­های مورد استفاده مهاجمان برای شمارش (enumerate) شبکه­های شما
• مکان یابی و حمله به Wi-Fi شخصی و سازمانی
• شناسایی و بهره برداری از سیستم های بی سیم اختصاصی
• اسکن پورت: شمارش (enumerate) در مقیاس کوچک و بزرگ
• جمع آوری سریع و موثر اینتل (intel) از سرورهای وب
• مشخص کردن اهداف شبکه بر اساس سطح پچ (patch)، سرویس، و سیستم عامل
• اسکن آسیب پذیری و تعیین اولویت بندی

شمارش اهداف Windows Active Directory

• شمارش دامنه Windows Active Directory با BloodHound SharpView
• دستور و کنترل ویندوز با PowerShell Empire
• پل زدن سیستم عامل از اهداف لینوکس به ویندوز
• دفاع از حملات SMB با ویژگی های پیچیده شبکه ویندوز
• آشنایی با ویژگی های امنیتی SMB از طریق سرور ویندوز 2019

سیستم دفاعی : DeepBlueCLI

• استفاده از PowerShell برای شمارش سیستم­های ویندوز
• تجزیه و تحلیل سریع و موثر Windows event log
• استفاده از اصلاح کننده های خروجی PowerShell برای گزارش، تجزیه و تحلیل
• شناسایی اسکن ها و حملات رایج ویندوز علیه سرورهای ویندوز​

همه هکرها می­گویند: کشف رمز عبور بهتر از کشف کدهای مخرب است. نه تنها دسترسی به سیستم از طریق نام کاربری و رمز عبور معتبر نسبت به کدهای مخرب از اعتبار بیشتری برخوردار است، بلکه استفاده از اطلاعات کاربری تایید هویت نیز در ترکیب با استفاده عادی از سیستم، گزارشات و ناهنجاری های سیستم کمتری ایجاد می کند که می تواند منجر به تشخیص شود. از آنجا که این حملات بسیار رایج هستند، ما با جزئیات قابل ملاحظه ای به حملات مبتنی بر رمز عبور می پردازیم و شما را با ابزارهای لازم  برای تست سیستم های خود با مهارت و تکنیک های مشابه با دشمنانی که باید در برابر آنها دفاع کنید، مجهز می­کنیم. این دوره با حملات مستقیم حدس زدن رمز عبور شروع می شود و به سرعت به بررسی تکنیک هایی می­پردازد که هکرها با به کارگیری این ها در یک فرایند موثر، سیستم های دفاعی مانند قفل شدن حساب را دور می زنند. ما به بررسی مباحث مهم ایجاد لیست های موثر حدس زدن رمز عبور از سایر آسیب های شبکه، و چگونگی استفاده مجدد از رمز عبور کاربر توسط هکرها علیه سازمان شما، می­پردازیم.  ما در مورد الگوریتم های مربوط به هش رمز عبور، با استفاده از چندین ابزار برای بازیابی رمزهای عبور ساده، و بهینه سازی فرایند کرک به طور کامل توضیح خواهیم داد. همچنین با استفاده از shellهای  پشتی، جلویی و معکوس،  و انتقال داده های مجزا در داخل سازمان، همه از طریق یک سیستم ساده دوتایی، یک شروع سریع در درک مباحث ضروری حمله شبکه خواهیم داشت. همچنین به بررسی اقدامات دفاعی ای که می توانید بلافاصله پس از بازگشت به کار انجام دهید، می­پردازیم، از جمله استفاده از Domain Password Audit Tool (DPAT) و ابزارهای Elastic Stack  (ELK سابق) برای نظارت بر گزارشات احراز هویت در سازمان شما.

تمرین ها

• حملات حدس زدن رمز عبور آنلاین با Hydra
• سیستم دفاعی: تجزیه و تحلیل حمله با حدف رمز عبور با Elastic Stack
• کرک رمز عبور موثر با استفاده از Hashcat و John the Ripper
• سیستم دفاعی: تجزیه و تحلیل قرار گرفتن در معرض رمز عبور دامنه با DPAT
• چرخش، اسکن و حذف داده ها با Netcat

مباحث

حملات رمز عبور

• چگونه مهاجمان از سیاست های قفل شدن حساب، عبور می کنند
• انتخاب یک پروتکل هدف برای حملات حدس زدن رمز عبور
• تکنیک های انتخاب لیست های رمز عبور
• چگونه مهاجمان از لیست گذرواژه های آسیب پذیر علیه سازمان شما استفاده می کنند
• تکنیک­های کرک نمودن رمز عبور
• توصیه­هایی برای کرک رمز عبور در سازمان شما

سیستم دفاعی: آنالیز لاگ با Elastic Stack (ELK سابق)

• ایجاد یک سیستم سبک برای آنالیز لاگ با استفاده از Elasticsearch، Logstack، Beats و Kibana
• درک داده های ورود به سیستم تأیید هویت لینوکس (Linux) و یونیکس (UNIX)
• پیکربندی Filebeat برای ورود ساده لاگ به سیستم
• استفاده از Kibana برای شناسایی رویدادهای حمله رمز عبور
• سفارشی سازی تجسم Kibana برای شکار موثر تهدید

درک هش ­های رمز عبور

• الگوریتم­ها، فرآیندها، و مشکلات هشینگ
• درک عملکرد هش ویندوز از طریق سرور 2019 ویندوز
• معیارهای قدرت و کیفیت عملکرد هش رمز عبور
• استخراج هش­های رمز عبور دامنه ویندوز با استفاده از ابزارهای داخلی
• دریافت هش رمز عبور از سیستم های ویندوز 10
• رمزگشایی هش های رمز عبور لینوکس و یونیکس
• کاهش کرک مبتنی بر GPU: PBKDF2، bcrypt و scrypt

حملات کرک رمز عبور

• John the Ripper: حالت­های کرک تکی، لیست کلمات، افزایشی، و خارجی
• کرک هش­ها با Hashcat: حملات مستقیم و ترکیبی
• محاسبه هش موثر با استفاده از حملات ماسک (mask)
• شکستن ضعف های انتخاب رمز عبور کاربر با قوانین Hashcat
• سه استراتژی ساده برای غلبه بر کرک رمز عبور

سیستم دفاعی: پیگیری رمز عبور دامنه

• شمارش تنظیمات دامنه ویندوز با اسکریپت های ساده یک خطی PowerShell
• مشخص نمودن رفتارهای سیستمیک در انتخاب رمز عبور کاربر
• شناسایی متخلفان رمز عبور اشتباه در سازمان شما
• کاهش اشتراک رمز عبور در دامنه های ویندوز

Netcat: بهترین دوست هکرها

• انتقال فایل­ها و ایجاد shellهای پشتی و shoveling
• استفاده از Netcat برای مبهم‌سازی مرجع یک حمله
• تکرار حملات با Netcat

حملات عمومی و گذری، برای سازمان‌ها خطر بسیار بزرگی هستند و همچنین از جمله حملات پرطرفداری هستند که رقبای شما برای هدف قرار دادن سازمانتان به کار می‌گیرند. اهداف عمومی مثل برنامه‌های تحت وب، سرورهای VPN، سیستم‌های ایمیلی و پروتکل‌های پشتیبانی دیگر، خیلی سریع توسط دشمن شما شناسایی و برای یافتن نقاط آسیب‌پذیری، بررسی می‌شوند. در حملات گذری، دشمنان اعتمادی که به وبسایت‌های واسطه وجود دارد را مورد هدف قرار می‌دهند و کاربران را فریب می‌دهند تا فکر کنند سیستمشان دچار مشکل و آسیب‌پذیری است.

در این قسمت از بخش، ابزارهای هکری مورد استفاده برای حمله به سیستم‌های در معرض خطر از طریق فریمورک‌های کد مخرب مثل Metasploit را بررسی و آزمایش می‌کنیم. همچنین، در مورد مفاهیم و تکنیک‌های موجود در پشت پرده حملات گذری و گودال آب (watering-hole) نیز صحبت خواهیم کرد و خواهیم گفت که مهاجمان چگونه کدهای مخرب و ابزارهای مورد  نیاز برای حمله به سیستم را از طریق نصب‌ بدافزارها، کد جاوااسکریپت مرورگر و سند‌های بد افزار مایکروسافت آفیس، مهیا می‌کنند. همچنین، حملات مختص برنامه‌های تحت وب در یک سازمان را بررسی می‌کنیم و این کار را هم از دیدگاه کاربر غیر مجاز و هم از دیدگاه کاربر مجاز و از طریق اقدامات کدهای مخرب که برای اکثر آسیب‌پذیری‌های مرسوم برنامه‌های تحت وب به کار می‌روند، انجام می‌دهیم. علاوه بر بررسی ابزارهای هکری، همچنین چند اقدام دفاعی رایگان و کارآمد از جمله، استفاده از دیتابیس Windows SRUM برای گزارش‌دهی تاریخچه فعالیت سیستم و استفاده از ابزارهای Elastic Stack (یا همان ELK) برای ارزیابی داده‌های ورودی به سرور وب به منظور شناسایی علائم حمله را نیز مورد بررسی قرار خواهیم داد.

تمرین‌ها

• حمله Metasploit و تجزیه و تحلیل
• استفاده از مرورگر آپدیت نرم‌افزار
• تجزیه و تحلیل دیتابیس مورد استفاده منابع سیستم
• حمله از طریق فرمان یا command injection
• حمله از طریق اسکریپت به سایت
• حمله از طریق کد SQL
• تجزیه و تحلیل لاگ یا ورود داده­ها به SQL

موضوعات

استفاده از Metasploit برای مورد حمله قرار دادن سیستم:

• استفاده از فریمورک Metasploit برای اهداف حمله خاص
• انطباق دادن کدهای مخرب با داده‌های شناسایی
• به کارگیری دستور و کنترل Metasploit Meterpreter
• شناسایی ابزارهای کدهای مخرب Metasploit در سیستم و شبکه

حملات گذری و گودال آب

• بررسی و آزمایش سطح خطر مرورگر
• شناسایی آسیب‌پذیری‌های مرورگر با جاوااسکریپت
• اجرای حملات مایکروسافت آفیس با کد نویسی
• پنهان کردن کد قانونی از طریق بار سیستم مهاجم

سیستم دفاعی

• نظارت بر استفاده از منبع سیستم (SRUM)
• ارزیابی حمله مهاجم با تاریخچه برنامه‌های ویندوز ۱۰
• استخراج داده‌های مفید از دیتابیس حفاظت شده SRUM
• تبدیل داده‌های خام SRUM به تجزیه و تحلیل کدهای مخرب بعدی

حملات برنامه‌ های تحت وب

• به دست آوردن اطلاعات اکانت برای شناسایی و فهرست کردن کاربر
• حملات از طریق فرمان برای وارد کردن دستور از راه دور در وب سرور
• حمله از طریق SQL: دست‌کاری دیتابیس‌های بک اند
• کلون یا شبیه‌سازی جلسه یا session: به دست آوردن جلسه‌های وب بقیه کاربران
• حمله از طریق اسکریپت به سایت: دست‌کاری جلسات مرورگر قربانی

سیستم دفاعی: تجزیه و تحلیل موثر لاگ وب سرور

• استفاده از ابزارهای Elastic Stack (ELK) برای تجزیه و تحلیل لاگ پس از حمله
• انجام تنظیمات filebeat برای استفاده از لاگ وب سرور
• استفاده از زبان کوئری Kibana (KQL) برای شناسایی حملات وب خاص
• جستجو برای یافتن نشانه‌های فرمان حمله از طریق SQL
• رمزگشایی کردن علائم حمله احتمالی با CyberChef​

به ندرت پیش می‌آید که هدف یک مهاجم، صرفا به خطر انداختن یک سیستم باشد. اغلب مواقع، هدف به خطر انداختن سیستم، جزو اولین اقدامات مهاجم است و پس از آن، حملات پس از کدهای مخرب صورت می‌گیرد تا مهاجم دسترسی بیشتری به شبکه به دست آورد، یا بتواند اطلاعات حساس درون سازمان را به دست آورد. در عین حال، مهاجمان همچنین باید با کنترل‌های دفاعی که برای از بین بردن تلاش‌های آنها طراحی شده‌اند نیز دست و پنجه نرم کنند، کنترل‌هایی همچون حفاظت در مرحله آخر، قفل شدن شبکه و محیط‌های مهم ممنوع‌الورود.

در این قسمت از بخش، اقدامات مهاجم پس از اتمام مرحله اولیه به خطر انداختن سیستم را بررسی خواهیم کرد. راجب تکنیک‌های مورد استفاده مهاجمان برای کارگذاری بدافزار پس از عبور از نقطه شناسایی نهایی و پلتفرم‌های دفاعی صحبت می‌کنیم و خواهیم گفت که مهاجمان چگونه با استفاده از ابزارهای خارج از سیستم و داخل سیستم، شبکه را دور می‌زنند و همچنین خواهیم گفت که چطور از سیستم‌های دفاعی اولیه شبکه شما، برای اسکن کردن شبکه داخلی و کشف راه فرار استفاده می‌کنند. بررسی می‌کنیم که چطور به خطر انداختن تنها یک هاست، برای مهاجم امکان نفوذ و دسترسی به داخل شبکه و اعمال یک سری حملات کاملا جدید را فرهام می‌کند و می‌گوییم که مهاجم چگونه از این دسترسی به صورت هوشمندانه استفاده خواهد کرد و مسیرهایی که به سمت هاست‌ها و داخل شبکه باز کرده است را تغییر می‌دهد تا از سیستم‌های شناسایی در امان باشد. خواهیم دیدکه مهاجمان، چگونه از طریق دسترسی اولیه خود برای دسترسی، جمع‌آوری و استخراج داده از شبکه‌های به خطر افتاده استفاده می‌کنند. سپس این بخش را با بیان اینکه پس از این مراحل در مطالعه خود باید چه کاری انجام دهید، چه منابعی را بررسی کنید و بهتر است از چه اعمالی استفاده کنید تا مهارت‌های جدیدتان به ملکه ذهنتان تبدیل شوند و در حافظه بلند مدت قرار بگیرند، به پایان می‌رسانیم.

تمرین‌ها

• دور زن پیشرفته شبکه با metasploit
• تحلیل رویداد حمله نفوذ به شبکه
• ربایش ویندوز: حملات responder یا پاسخی
• بررسی تاریخچه فرمان پس از کدهای تخریبی
• پنهان کرن (و یافتن) داده‌های ارزشمند در مورد سرورهای ویدئوز
• ویرایش انتخابی لاگ‌های رویداد ویندزو
• یافتن تهدید شبکه با RITA

موضوعات

عبور از امنیت نقطه نهایی

• پرهیز از بررسی EDR با اعمال دستکاری: ghostwriting یا گمراه کردن
• دستکاری Windows Defender برای جلوگیری از کشف شدن علائم حمله
• استفاده از LOLBAS برای پرهیز از برنامه لیست سفید
• انطباق دادن بارهای Metasploit روی پلتفرم‌های حفاظت شده

دور زدن و اقدامت بعدی

• دور زدن از اقدام به خطر انداختن اولیه به سمت شبکه‌های داخلی
• ارسال موثر port با بارهای Meterpreter
• استفاده از هاست‌های در خطر قرار گرفته برای اسکن کردن شبکه داخلی، اعمال کدهای مخرب
• Windows netsh و دسترسی مهاجم به شبکه داخلی

حملات نفوذ کننده به شبکه

• استفاده از دسترسی داخلی برای حملات شبکه
• اعمال ابزرهای حمله packet sniffer و MITM
• دریافت packet محلی در هاست‌های ویندوز مورد خطر قرار گرفته
• سوءاستفاده از پروتکل‌های ضعیف: DNS، HTTP
• حملات جعل هویت خدمات شبکه با Flamingo
• سوءاستفاده از معلوم بودن نام ویندوز برای کشف رمز عبور

پوشاندن رد پاها

• حفظ دسترسی به روش دستکاری هاست‌های مورد خطر
• تغییر فایل‌های لاگ روی سیستم‌های لینوکس و ویندوز
• پنهان کردن داده‌ها در Windows ADS
• پایداری شبکه به وسیله فرمان و کنترل نهان

سیستم دفاعی: بررسی تهدید هوشمند واقعی (RITA)

• مشخص کردن فعالیت فرمان و کنترل پیشرفته روی شبکه
• گرفتن و پردازش داده‌ها با Zeek
• یافتن تهدید شبکه: دیدبان‌ها، اتصالات طولانی، سیگنال‌های strobe و تحلیل DNS

جمع‌آوری داده‌ها پس از اعمال کدهای مخرب

• به دست آوردن رمزهای عبور از هاست‌های لینوکس مورد خطر
• روبرداری یا دامپینگ رمز عبور از طریق Mimilatz و EDR
• از بین بردن مدیران رمز عبور ویندوز و macOS
• حملات کی لاگر (keystroke Logging) ویندوز
• استخراج داده‌ها با وجود پروتکل‌های موجود در شبکه

حالا می‌توان چکار کرد؟

• تکنیک‌های حل مسئله زمان مورد نیاز برای مطالعه
• فهم مشکل منحنی فراموشی
• تکنیک‌های توسعه پایداری بلند مدت از چیزهایی که آموختید
• ایجاد استراتژی‌های مطالعه برای تثبیت و به کارگیری علمتان​

در طول سالیان، صنعت امنیت، برای متوقف کردن مهاجمان، هوشمندتر و کارآمدتر شده است. متاسفانه، مهاجمان نیز در حال هوشمندتر شدن و خبره‌تر شدن هستند. یکی از موثرترین روش های متوقف کردن یک مهاجرم، این است که محیط را با همان ابزارها و تاکتیک‌هایی که بر علیه شما استفاده می‌کند، تست کنید. رویداد گرفتن Flag ما، یک فعالیت ۲۴ ساعته هست که در آن، تصور می‌کنیم به عنوان یک مشاور برای یک شرکت خیالی که اخیرا مورد حمله قرار گرفته است، کار می‌کنیم. در این روش، از تمام مهارت‌هایی که در کلاس آموخته‌اید استفاده می‌کنید، همچنین از همان تکنیک‌هایی که مهاجمان برای مورد حمله قرار دادن محیط‌های شبکه‌ای مدرن و حفاظت شده به کار می‌گیرند، استفاده خواهید کرد. در این روش همه با هم کار می‌کنند و به گروه‌های کوچکی تقسیم می‌شوید که هر گروه مشغول اسکن کردن، استفاده از کدهای تخریبی و انجام وظایف پس از استفاده از کدهای تخریبی خواهند شد که در برابر سیستم‌هایی که در حملات سایبری مورد حمله قرار می‌گیرند، از جمله ویندوز، لینوکس، اینترنت اشیاء و اهداف ابری. این چالش همه‌جانبه، طراحی شده است تا به دست‌اندرکاران کمک کند تا مهارت‌هایشان را امتحان کرده و مفاهیمی که در طول دوره آموخته‌اند را بیشتر تفهیم کنند و در عین حال، در محیطی که مشابه شبکه‌های مدرن است، خودشان را محک بزنند. این رویداد که توسط موتور NetWars  ایجاد شده است، دست‌اندرکاران را هدایت کرده تا با موفقیت به سیستم‌های مورد هدف حمله کنند، از پلتفرم‌های حفاظت شده نقطه نهایی عبور کنند، هاست‌های با ارزش شبکه داخلی را دور بزنند و داده‌هایی که ارزش بسیار زیادی برای سازمان مورد هدف دارند را استخراج کنند. به برندگان، سکه چالش بخش ۵۰۴ اهدا خواهد شد.

مفاهیم

تحلیل عملی

• شناسایی سوءاستفاده از رمز عبور کاربر
• تکمیل فرآیند اسکن، تحلیل و بررسی داده‌های شناسایی
• استفاده از منابع OSINT برای جمع‌آوری اطلاعات راجب یک شبکه هدف
• انطباق دادن داده‌های شناسایی با داده‌های عمومی
• افزایش حفاظت در سیستم‌های لینوکس و ویندوز
• شناسایی آسیب‌پذیری‌های مرسوم دامنه ویندوز
• از بین بردن یا استخراج داده‌ها از سیستم‌های مورد خطر
• تغییر یا دور زدن مرحله به خطر افتادن اولیه به دسترسی شبکه داخلی
• شناسایی ابزارهای مهاجم در یک شبکه مورد خطر​