Instrutor: Felipe "Pr0teus" Esposito e Rodrigo "Sp0oKeR" Montoro
Vagas totais: 32
Vagas disponíveis: 25
Mínimo necessário: 16
Duração: 16 horas
Data: 07 e 08 de Dezembro, 2023
Traga seu próprio laptop: Sim
Idioma: Portugues
Investimento: R$ 2000,00
Ethical Hacking Cloud Pentesting
R$ 2000,00
APT Analysis Day: Russia edition
Instrutor: Fernando Merces
Descrição:
Você certamente ouve falar em APTs (Advanced Persistent Threats), ataques direcionados, nation-state hackers, cyber weapons e todas as buzzwords que o mercado te traz. De fato, muitas vezes são malwares avançados, multimodulares, e que não são encontrados facilmente por aí. Empresas de segurança publicam análises de amostras coletadas em ataques deste tipo e recebem bastante atenção, mas por que não vemos publicações sobre como realizar tais análises? Cadê o povo ensinando como fazer ao invés de somente mostrar o que foi feito? Bom, o dia chegou. :)
Neste treinamento de 2 dias especialmente criado para a H2HC vamos analisar, do início ao fim, um malware utilizado atribuído à Rússia, utilizado para atacar empresas Ucranianas durante a guerra na Ucrânia. Sem segredos, todas as etapas de análise serão estudadas, da análise do binário à reimplementação do servidor de Comando e Controle (C&C) do malware.
Programa:
Capítulo 1 - Dropper
Nesta etapa estudaremos o dropper do malware no formato MSI (Microsoft Installer). Vamos aproveitar para entender o que são os arquivos MSI e como analisamos este tipo de arquivo em busca de códigos maliciosos.
Capítulo 2 - Loader
O loader do malware, que é dropado pelo dropper, é analisado nesta parte. Por ser um loader em DLL, vamos aproveitar para estudar como analisar DLLs maliciosas. E não ache que vamos convertê-la para EXE não. Vamos analisar a DLL direto mesmo, afinal “quem converte não se diverte” né? Ainda neste capítulo vamos estudar o módulo de COM Hijacking utilizado pelo malware com seus forwarded exports, que vamos entender. Não vai passar nada batido.
Capítulo 3 - Rede
O módulo de rede deste ataque será estudado aqui. Nele, há a comunicação com o servidor de C&C em HTTPS, que vamos interceptar e emular. Como? Você vai ver no treinamento, fera.
Capítulo 4 - Backdoor
O maior capítulo será dedicado ao estudo da backdoor, que é protegida com VMProtect (e a gente bypassa, foda-se, porque aqui é Brasil!). Vamos entender seus comandos e o como a backdoor se comunica com os outros métodos (Interprocess Communication - IPC). Vamos implementar tudo no nosso ambiente, de modo que nos comuniquemos com a backdoor para analisar os comandos emulados por nós.
No treinamento você vai utilizar versões profissionais de softwares como IDA Pro e editores hexadecimais, usando os mesmos recursos que esse povo metido a besta usa. Mas logicamente as ferramentas não fazem tudo. A gente vai usá-las a nosso favor, estudando e pondo em prática o que é estudado, com sentido e solidez.
Pré-requisitos:
Perceba que este não é um treinamento de nível básico. É primordial conhecer o básico de engenharia reversa, que você pode adquirir em https://menteb.in/livro por exemplo. Ademais, os requisitos são:
Laptop próprio com capacidade para rodar uma VM com 8 GB de memória RAM e 60 GB de disco.
Conhecimentos básicos de linguagem C (structs, tipos/tamanhos de variáveis, etc).
Básico de engenharia reversa em Windows.
Gerenciamento de máquinas virtuais (snapshots, captura de tráfego, etc).
O treinamento tem o objetivo de proporcionar aos participantes um entendimento aprofundado sobre desenvolvimento de malwares customizados multiestágio e suas aplicações práticas, tendo como alvo, sistemas operacionais Windows modernos.
O instrutor guiará os alunos por meio de exemplos práticos com foco em estratégias eficazes e furtivas para proteger suas operações e infraestrutura ofensiva. Serão fornecidos códigos fonte que serão estudados e utilizados como exemplo, de forma que o aluno seja capaz de criar seus próprios servidores de Comando e Controle (C2), bem como implantes e artefatos necessários para suportar as atividades profissionais de Pentest e Red Team.
ssh -p 2222 185.52.0.113
Programa:
Destaques do Treinamento:
=========================
1.) Abordagem Prática: O curso oferece exemplos práticos que capacitam os participantes a compreender e implementar estratégias ofensivas e consequentemente defensivas eficazes.
2.) Códigos Fonte Customizados: Fornecemos códigos fonte que serão estudados e utilizados como exemplos, permitindo que os alunos desenvolvam suas próprias soluções defensivas.
3.) Comando e Controle (C2): Aprenda a criar servidores C2 robustos, essenciais para o fortalecimento das operações de Pentest e Red Team.
Benefícios para Empresas e SOCs:
================================
Fortalecimento Defensivo: Capacite sua equipe a entender as táticas ofensivas, reforçando as estratégias defensivas contra ameaças cibernéticas complexas.
Melhoria nas Operações de SOC: Os operadores de SOC irão adquirir conhecimentos práticos para identificar e neutralizar ameaças de forma proativa.
Aprimoramento da Infraestrutura de Segurança: Desenvolva uma infraestrutura de segurança mais resistente e resiliente contra ataques avançados.
Este curso é uma oportunidade única para fortalecer as capacidades de segurança cibernética de sua equipe, garantindo uma postura defensiva mais robusta contra as ameaças em constante evolução. Junte-se a nós e capacite sua equipe para enfrentar os desafios do cenário cibernético moderno.
Módulo 0x00 - Preparação
=========================
- Introdução
- Ambiente de desenvolvimento
- Malware multiestágio
Módulo 0x01 - Arquitetura do C2
================================
- Comunicação servidor x implante
- Estrutura do servidor
- Estrutura do implante
- Estratégias de proteção da infraestrutura
- Controle de frequencia de requisições
- Controle de origem e infecção
- Redirecionador de tráfego (implante <-> C2)
- Position Independent Code (PIC)
- Offset x RVA x VA
- Achando o endereço do ImageBase do kernel32.dll
- Achando o endereço do GetProcAddress
- Delta Trick
- Chamadas de API no contexto do PIC
- Ofuscação de Shellcode
- Primeiro estágio
- Beacon
- Reconhecimento do alvo
- Execução de shellcode remoto
- Segundo estágio
- Download/Upload de arquivos
- Execução de comandos
- Terceiro estágio
- AMSI patch
- Keylogger
- Servidor socks reverso
- Auto remoção (Melt)
- Técnicas de Persistência
- DLL Side loading
- COM Hijack
- Schedule Tasks
- Chaves de registro AutoRun
- rootkit ring3
- Ocultação de arquivos e pastas
- Ocultação de processos
Módulo 0x02 - Proteção do implante
===================================
- (In)direct syscall
- Decrypt condicional
- Tipos de detecção e análises
- Técnicas de ofuscação de código
- Técnicas anti-reverse
- Anti-debugger
- Anti-VM
- Anti-disassembler
- Anti-sandbox
- Anti-ferramentas de análise
Requisitos:
===========
- Conhecimentos sólidos em Sistema Operacional Windows
- Conhecimentos sólidos em Sistema Operacional Linux
- Conhecimentos sólidos de Rede de Computadores e Serviços de Rede
- Experiência de programação em linguagens de alto nível (Python, Java, Go, correlatos)
- Noções de programação em linguagens de baixo nível (Assembly, C, C++)
- Familiaridade com Debuggers (IDA Pro, x64dbg, WinDBG)
- Conhecimentos básicos de chamadas de API no Windows
- Conhecimentos básicos do formato de arquivo PE (Portable Executable)
- Familiaridade com ferramentas de Virtualização – VMWare
Público alvo:
=============
- Especialistas em Segurança da Informação
- Analista de Segurança da Informação
- Analistas de Malwares
- Desenvolvedores de Exploits
- Pentesters
- Membros de Red Team
- Profissionais de TI com interesse e afinidade na área de Segurança da Informação
Material necessário:
====================
- Os alunos precisam de um computador (Windows, Linux ou Mac OS), com acesso de administrador e capacidade de executar de 02 Máquinas Virtuais (VM) simultaneamente
- Configuração mínima de 8GB de RAM, 60 GB de espaço livre em disco
- Software de Virtualização: VMWare, versão mais atualizada, de preferência Workstation (para hosts Windows ou Linux) ou Fusion (para host Mac OS), pode ser a versão trial. O VMWare Player também é capaz de executar as VMs do curso
- ATENÇÃO: NÃO TRABALHAR COM COMPUTADORES DA APPLE (MACBOOK) COM PROCESSADORES ARM M1/M2
Material recebido:
==================
- Acesso ao portal do aluno, o GoHacking Academy
- As Máquinas Virtuais com as aplicações utilizadas nos exercícios
- Apostila do Curso no formato PDF
- Certificado de Conclusão do Curso no formato PDF (com a carga horária e ementa)
- Códigos-fonte funcionais compatíveis com a versão mais moderna do Windows que serão usados no treinamento
Capacidades alcançadas:
=======================
No final do curso, espera-se que o aluno esteja apto a:
- Entender o processo de desenvolvimento de código malicioso (malware) para o Sistema Operacional Windows
- Entender o funcionamento das APIs do Sistema Operacional Windows
- Compreender as etapas de construção de malware para atividades profissionais de Segurança Ofensiva
- Construir malwares em apoio a Operações de Red Team
- Desenvolver malwares customizados multiestágios
- Ofuscar código malicioso
- Entender as principais técnicas de bypass de controles de segurança utilizadas por malwares
O treinamento tem o objetivo de proporcionar aos participantes um entendimento aprofundado sobre técnicas de evasão e suas aplicações práticas, tendo como alvo, o Sistema Operacional Windows.
O instrutor guiará os alunos por meio de exemplos práticos com foco em estratégias furtivas para contornar proteções durante campanhas de Red Team avançadas. Serão fornecidos códigos fonte que serão estudados e utilizados como exemplo, de forma que o aluno seja capaz de criar seus próprios Runners de Shellcode capazes de executar em ambientes hardenizados bem como em ambientes que possuem proteções adicionais como EDR e AMSI.
Programa:
Destaques do Treinamento:
=========================
1) Abordagem Prática: O curso oferece exemplos práticos que capacitam os participantes a compreender e implementar estratégias ofensivas e, consequentemente, defensivas eficazes.
2) Códigos Fonte Customizados: Fornecemos códigos fonte que serão estudados e utilizados como exemplos, permitindo que os alunos desenvolvam suas próprias soluções defensivas.
3) Evasão de Antivirus: Aprenda e entenda como Threat Actors utilizam técnicas para contornar mecanismos de defesa.
4) Evasão de EDR: Aprenda e entenda como Threat Actors utilizam técnicas para contornar mecanismos de defesa avançados.
5) Evasao de proteções do Windows: Aprenda e entenda como Threat Actors utilizam técnicas para contornar mecanismos de defesa do sistema operacional.
Benefícios para Empresas e SOCs:
================================
Fortalecimento Defensivo: Capacite sua equipe a entender as táticas ofensivas, reforçando as estratégias defensivas contra ameaças cibernéticas complexas.
Melhoria nas Operações de SOC: Os operadores de SOC irão adquirir conhecimentos práticos para identificar e neutralizar ameaças de forma proativa.
Aprimoramento da Infraestrutura de Segurança: Desenvolva uma infraestrutura de segurança mais resistente e resiliente contra ataques avançados.
Módulo 0x01 - Preparação
=========================
- Arquitetura do Windows
- PE 101
- Windows APIs
- Funcionamento de Antivírus
Módulo 0x02 - Antivirus e Windows Controls
===========================================
- P/Invoke
- D/Invoke
- Shellcode Runners
- Crypters
- Encoders
- Técnicas de Evasão de Antivírus
- AMSI
- Engenharia reversa e bypass de AMSI
- Constrained Language Mode (CLM)
- Unmanaged Powershell
- Introdução Backdooring e injeção de códigos
- Injeção de DLL
- DLL Side loading
Módulo 0x03 - EDR
=========================
- Introdução EDR
- Funcionamento API Hooking
- Userland Hooking
- Bring your own vulnerable driver (BYOVD)
- Hells Gate
- Introdução Hallos Gate
- Introdução Tartarus Gate
Requisitos:
===========
- Conhecimentos sólidos em Sistema Operacional Windows
- Conhecimentos sólidos de Rede de Computadores e Serviços de Rede
- Experiência de programação em linguagens de alto nível (Python, Powershell, Rust)
- Noções de programação em linguagens de baixo nível (Assembly, C, C++)
- Familiaridade com ferramentas de Virtualização – VMWare
Público Alvo:
=============
- Especialistas em Segurança da Informação
- Analista de Segurança da Informação
- Analistas de Malwares
- Desenvolvedores de Exploits
- Pentesters
- Membros de Red Team
- Membros de CSIRT
- Membros de SOC
- Profissionais de Defesa Cibernética (Blue Team)
- Profissionais de TI com interesse e afinidade na área de Segurança da Informação
Material Necessário:
====================
- Os alunos precisam de um computador (Windows, Linux ou Mac OS), com acesso de administrador e capacidade de executar de 02 Máquinas Virtuais (VM) simultaneamente
- Configuração mínima de 8GB de RAM, 60 GB de espaço livre em disco
- Software de Virtualização: VMWare, versão mais atualizada, de preferência Workstation (para hosts Windows ou Linux) ou Fusion (para host Mac OS), pode ser a versão trial. O VMWare Player também é capaz de executar as VMs do curso
- ATENÇÃO: NÃO TRABALHAR COM COMPUTADORES DA APPLE (MACBOOK) COM PROCESSADORES ARM M1/M2
Material Recebido:
==================
- Acesso ao portal do aluno, o GoHacking Academy
- As Máquinas Virtuais com as aplicações utilizadas nos exercícios
- Apostila do Curso no formato PDF
- Certificado de Conclusão do Curso no formato PDF (com a carga horária e ementa)
- Códigos-fonte funcionais compatíveis com a versão mais moderna do Windows que serão usados no treinamento
Capacidades Alcançadas:
=======================
No final do curso, espera-se que o aluno esteja apto a:
- Entender o funcionamento das APIs do Sistema Operacional Windows
- Construir payloads evasivos em apoio a Operações de Red Team
- Desenvolver codigos customizados e refinar os existentes
- Compreender as técnicas de evasão de Antivírus e EDR
- Entender as principais técnicas de bypass de controles de segurança no Windows
- Entender táticas ofensivas
- Obter conhecimentos práticos na identificação de ameaças
- Fortalecer as capacidades de segurança cibernética
Instrutor: Felipe "Pr0teus" Esposito e Rodrigo "Sp0oKeR" Montoro
Descrição:
Os ecossistemas dos provedores de nuvem/cloud ampliaram as superfícies de ataque, promovendo novos métodos e caminhos de exploração. Especificamente, na Amazon Web Services (AWS), estamos falando de mais de trezentos e oitenta (380+) serviços que um atacante pode utilizar para atingir seu objetivo e comprometer redes, sistemas e aplicações.
Esse grande cenário, complexo e intrigante, trouxe consigo inúmeras técnicas ofensivas (novas e antigas), métodos diferentes de movimentacão lateral, novas ferramentas, modos de reconhecimento e muitos aspectos ainda por serem desvendados, o que torna a Segurança em Nuvem em um trabalho desafiador e bem interessante.
O objetivo principal do curso é apresentar parte desses novos vetores e técnicas de ataque, entendendo como os ambientes se conectam, como utilizar esse novo arsenal de ferramentas e aprender, de forma prática, os detalhes da exploração dos serviços de nuvem em ambientes AWS.
Programa:
Destaques do Treinamento:
=========================
1) Abordagem Prática: O curso oferece exemplos práticos que capacitam os participantes a compreender e implementar estratégias ofensivas e consequentemente defensivas eficazes para ambiente de nuvem/cloud AWS.
2) Material Atualizado: O conteúdo do curso apresenta técnicas, ferramentas e procedimentos atuais sobre segurança em ambiente de nuvem/cloud AWS.
3) Instrutores Experientes: O treinamento é ministrado por profissionais altamente qualificados, que são referência no cenário nacional e internacional de Segurança Cibernética.
Benefícios para Empresas e SOCs:
================================
Fortalecimento Defensivo: Capacite sua equipe a entender as táticas ofensivas em ambiente de nuvem/cloud AWS, reforçando as estratégias defensivas contra ameaças cibernéticas complexas.
Melhoria nas Operações de SOC: Os operadores de SOC irão adquirir conhecimentos práticos para identificar e neutralizar ameaças de forma proativa em ambiente de nuvem/cloud AWS.
Aprimoramento da Infraestrutura de Segurança: Desenvolva uma infraestrutura de segurança mais resistente e resiliente contra ataques avançados em nuvem/cloud da AWS.
Este curso é uma oportunidade única para fortalecer as capacidades de segurança cibernética de sua equipe, focado em ambiente de nuvem/cloud AWS, garantindo uma postura defensiva mais robusta contra as ameaças em constante evolução. Junte-se a nós e capacite sua equipe para enfrentar os desafios do cenário cibernético moderno.
Módulo 0x00 - Preparação (2h)
===================================
- Introdução ao ecossistema AWS
- O que é Cloud Security ?
- MITRE ATT&CK Cloud
Módulo 0x01 - Identificando e ganhando acesso a AWS. (2h)
- Visão geral do Identity and Access Management (IAM)
- Escalando Privilegios
- AWS Identity Center
- Roubando segredos
Módulo 0x03 - Movimentação lateral (2h)
============================================
- Data Plane
- Control Plane
- AWS Identity Center
Módulo 0x04 - Evading Security Controls (2h)
================================================
- Evitando o cloudtrail
- Bypassando Guard Duty
- Bypassando o Macie
Módulo 0x05 - Persistência (2h)
=====================================
- Backdooring user accounts
- Backdooring services
- Backdooring CI/CD
Módulo 0x06 - Exfiltração de dados (2h)
==========================================
- Exfiltração de dados entre contas
- Exfiltração de dados de contas avançadas
Módulo 0x07 - CTF (2h)
=========================
- Exercício Hands-on
- Recomendações Finais
Requisitos:
===========
- Conhecimentos Básicos em Sistema Operacional Windows
- Conhecimentos Básicos em Sistema Operacional Linux
- Conhecimentos sólidos de Rede de Computadores e Serviços de Rede
- Experiência de programação em linguagens de alto nível (Python, Java, Go, correlatos)
- Conhecimentos Básicos de Cloud (preferencialmente AWS)
- Conehcimentos Básicos de Cloud Security
- Familiaridade com Ferramentas de Virtualização (VMWare, Virtual Box)
Público alvo:
=============
- Especialistas em Segurança da Informação
- Analista de Segurança da Informação
- Pentesters
- Membros de Red Team
- Membros de Blue Team
- Membros de CSIRT
- Membros de SOC
- Profissionais de TI com interesse e afinidade na área de Segurança da Informação
Material necessário:
====================
- Os alunos precisam de um computador (Windows, Linux ou Mac OS), com acesso de administrador e capacidade de instalar software/programas (Terraform, Git)
- Configuração mínima de 8GB de RAM, 40 GB de espaço livre em disco
- Sistema Operacional MacOS ou Linux (host ou máquina virtual) com Python3
- Ter ou criar uma conta na AWS específica para o treinamento
Material recebido:
==================
- Acesso ao portal do aluno, o GoHacking Academy
- Acesso às ferramentas priv8
- Apostila do Curso no formato PDF
- Certificado de Conclusão do Curso no formato PDF (com a carga horária e ementa)
Capacidades alcançadas:
=======================
No final do curso, espera-se que o aluno esteja apto a:
- Compreender os Fundamentos da Segurança na Nuvem: Entender os conceitos básicos e os novos paradigmas da segurança em ambientes de nuvem, focando especialmente na infraestrutura da AWS.
- Desenvolver Habilidades de Inteligência de Fonte Aberta (OSINT): Aprender a utilizar técnicas de OSINT para identificar e acessar recursos expostos na AWS, promovendo uma abordagem proativa à segurança.
- Entender e Aplicar Técnicas de Escalação de Privilégios: Ganhar proficiência no entendimento e aplicação de técnicas para escalar privilégios em ambientes AWS, incluindo o uso eficaz do IAM e técnicas para roubar segredos.
- Aprimorar Habilidades de Movimentação Lateral: Desenvolver habilidades para realizar movimentações laterais seguras e eficazes em ambientes AWS, compreendendo profundamente os planos de dados e controle.
- Compreender e Evadir Controles de Segurança AWS: Aprender técnicas avançadas para evitar controles de segurança estabelecidos na AWS, incluindo a evasão de ferramentas como CloudTrail e GuardDuty.
- Desenvolver Técnicas de Persistência: Adquirir habilidades para criar backdoors em contas de usuários e serviços AWS, permitindo operações de persistência em ambientes de nuvem.
- Dominar Técnicas de Exfiltração de Dados: Aprender a executar técnicas avançadas de exfiltração de dados, focando na transferência segura e eficaz de dados entre contas AWS e fora delas.