Trainings Offensive PowerShell for Red and Blue Teams

Offensive PowerShell for Red and Blue Teams

Referent: Nikhil Mittal

Dauer: 2 Tage

Penetrationstests und Red-Team-Aktivitäten für sichere Umgebungen erfordern alternative Ansätze. Um die Erkennung und Verhinderung eines (simulierten) Angriffs so schwierig wie möglich zu gestalten, können wir keine Daten auf die Festplatte schreiben, Binarys ausführen oder Memory-Corruption-Exploits verwenden. Daher ist für die Verbesserung offensiver Taktiken und Vorgehensweisen PowerShell das Mittel der Wahl.

PowerShell hat die Art und Weise, wie Windows-Netzwerke angegriffen werden, verändert. Dabei handelt es sich um Microsofts Shell und Skriptsprache, die standardmäßig auf allen neueren Windows-Rechnern vorhanden ist. Sie kann mit .NET, WMI, COM, Windows API, Registry und anderen Rechnern in einer Windows-Domäne kommunizieren. Dies macht es für Penetrationstester und Red Teamer zwingend erforderlich, PowerShell zu lernen.

Dieses Training ist auf Angriffe von Windows-Netzwerken mittels PowerShell ausgerichtet; es basiert auf realen Penetrationstests und Red-Team-Aktivitäten für streng gesicherte Umgebungen. Die Schulung ist als Penetrationstest einer sicheren Umgebung gestaltet. In jeder Phase erfolgt eine detaillierte Besprechung und der Einsatz benutzerdefinierter PowerShell-Skripte.

Nachfolgend einige Beispiele für Techniken mit PowerShell, die wir im Training verwenden:

  • In-Memory-Skripte und Shellcode Execution über clientseitige Angriffe
  • Umfangreiches Enumerieren und Mapping von AD-Hierarchien und Vertrauensbeziehungen
  • Privilege Escalation (User Hunting, Privilegienvererbung etc.)
  • Kerberos-Angriffe und deren Verteidigung (Golden Ticket, Silver Ticket, Kerberoast etc.)
  • Missbrauch von Vertrauensbeziehungen auf Forest-Ebene (übergreifendes Lateral Movement, Privilege Escalation etc.)
  • Missbrauch von Identitäten im SQL Server-AD-Umfeld (Command Execution, Missbrauch von Vertrauensbeziehungen, Lateral Movement)
  • Credentials-Replay-Angriffe (via PTH, Token Replay etc.)
  • Persistenz (WMI, GPO etc.)
  • Umgehen von Verteidigungsmechanismen (App Whitelisting, AMSI, Advanced Threat Analytics etc.)
  • Abgreifen von Windows-Passwörtern, Web-Passwörtern, WLAN-Schlüsseln, LSA-Schlüsseln und anderen internen Informationen im Klartext
  • Nutzung von DNS, HTTPS, Gmail etc. als Kommunikationskanäle für Shell-Zugriff und Exfiltration
  • Network Relays, Port Forwarding und Pivots zu anderen Maschinen

Bei der Schulung handelt es sich um eine Mischung aus Demonstrationen, Übungen, praktischem Training und Vortrag. Der Fokus liegt eher auf Vorgehensweisen und Techniken als auf Tools.

Im Anschluss an das Training erhalten die Teilnehmer einen Monat lang Gratiszugang zu einer vollständigen Active Directory-Umgebung.

Nach der Schulung sind die Teilnehmer in der Lage, eigene Skripte zu schreiben sowie bestehende Skripte für Sicherheitsprüfungen anzupassen. Ziel des Trainings ist es, die Herangehensweise an die Überprüfung von Windows-basierten Umgebungen zu verändern.

Preis: 2.000,- € zzgl. MwSt.

Datum: 29.-30. Januar 2018 – die beiden Tage vor der IT-Defense 2018

Bitte beachten Sie, dass das Training auf Englisch stattfindet.

Für die Teilnahme am Training erhalten Sie CPE-Punkte. Das Training dauert insgesamt 16 Stunden und zum Abschluss erhalten Sie ein Zertifikat.

Location:
Leonardo Royal Hotel Munich
Moosacher Strasse 90
80809 München
Tel: +49 (89) 288 538 0
Fax: +49 (89) 288 538 100
E-Mail: info.royalmunich@leonardo-hotels.com
www.leonardo-hotels.com