Instrutor: Fernando Merces

•   Você certamente ouve falar em APTs (Advanced Persistent Threats), ataques direcionados, nation-state hackers, cyber weapons e todas as buzzwords que o mercado te traz. De fato, muitas vezes são malwares avançados, multimodulares, e que não são encontrados facilmente por aí. Empresas de segurança publicam análises de amostras coletadas em ataques deste tipo e recebem bastante atenção, mas por que não vemos publicações sobre como realizar tais análises? Cadê o povo ensinando como fazer ao invés de somente mostrar o que foi feito? Bom, o dia chegou. :)
•   Neste treinamento de 2 dias especialmente criado para a H2HC vamos analisar, do início ao fim, um malware utilizado atribuído à Rússia, utilizado para atacar empresas Ucranianas durante a guerra na Ucrânia. Sem segredos, todas as etapas de análise serão estudadas, da análise do binário à reimplementação do servidor de Comando e Controle (C&C) do malware.

• Capítulo 1 - Dropper
• Nesta etapa estudaremos o dropper do malware no formato MSI (Microsoft Installer). Vamos aproveitar para entender o que são os arquivos MSI e como analisamos este tipo de arquivo em busca de códigos maliciosos.
• Capítulo 2 - Loader
• O loader do malware, que é dropado pelo dropper, é analisado nesta parte. Por ser um loader em DLL, vamos aproveitar para estudar como analisar DLLs maliciosas. E não ache que vamos convertê-la para EXE não. Vamos analisar a DLL direto mesmo, afinal “quem converte não se diverte” né? Ainda neste capítulo vamos estudar o módulo de COM Hijacking utilizado pelo malware com seus forwarded exports, que vamos entender. Não vai passar nada batido.
• Capítulo 3 - Rede
• O módulo de rede deste ataque será estudado aqui. Nele, há a comunicação com o servidor de C&C em HTTPS, que vamos interceptar e emular. Como? Você vai ver no treinamento, fera.
• Capítulo 4 - Backdoor
• O maior capítulo será dedicado ao estudo da backdoor, que é protegida com VMProtect (e a gente bypassa, foda-se, porque aqui é Brasil!). Vamos entender seus comandos e o como a backdoor se comunica com os outros métodos (Interprocess Communication - IPC). Vamos implementar tudo no nosso ambiente, de modo que nos comuniquemos com a backdoor para analisar os comandos emulados por nós.
• No treinamento você vai utilizar versões profissionais de softwares como IDA Pro e editores hexadecimais, usando os mesmos recursos que esse povo metido a besta usa. Mas logicamente as ferramentas não fazem tudo. A gente vai usá-las a nosso favor, estudando e pondo em prática o que é estudado, com sentido e solidez.
• Pré-requisitos:
• Perceba que este não é um treinamento de nível básico. É primordial conhecer o básico de engenharia reversa, que você pode adquirir em https://menteb.in/livro por exemplo. Ademais, os requisitos são:
• Laptop próprio com capacidade para rodar uma VM com 8 GB de memória RAM e 60 GB de disco.
• Conhecimentos básicos de linguagem C (structs, tipos/tamanhos de variáveis, etc).
• Básico de engenharia reversa em Windows.
• Gerenciamento de máquinas virtuais (snapshots, captura de tráfego, etc).

• https://www.linkedin.com/in/fernandomerces/

Instrutor: Rafael Salema (SWaNk)

•   O treinamento tem o objetivo de proporcionar aos participantes um entendimento aprofundado sobre desenvolvimento de malwares customizados multiestágio e suas aplicações práticas, tendo como alvo, sistemas operacionais Windows modernos.
•   O instrutor guiará os alunos por meio de exemplos práticos com foco em estratégias eficazes e furtivas para proteger suas operações e infraestrutura ofensiva. Serão fornecidos códigos fonte que serão estudados e utilizados como exemplo, de forma que o aluno seja capaz de criar seus próprios servidores de Comando e Controle (C2), bem como implantes e artefatos necessários para suportar as atividades profissionais de Pentest e Red Team.
•   ssh -p 2222 185.52.0.113

• Destaques do Treinamento:
• =========================
• 1.) Abordagem Prática: O curso oferece exemplos práticos que capacitam os participantes a compreender e implementar estratégias ofensivas e consequentemente defensivas eficazes.
• 2.) Códigos Fonte Customizados: Fornecemos códigos fonte que serão estudados e utilizados como exemplos, permitindo que os alunos desenvolvam suas próprias soluções defensivas.
• 3.) Comando e Controle (C2): Aprenda a criar servidores C2 robustos, essenciais para o fortalecimento das operações de Pentest e Red Team.
• Benefícios para Empresas e SOCs:
• ================================
• Fortalecimento Defensivo: Capacite sua equipe a entender as táticas ofensivas, reforçando as estratégias defensivas contra ameaças cibernéticas complexas.
• Melhoria nas Operações de SOC: Os operadores de SOC irão adquirir conhecimentos práticos para identificar e neutralizar ameaças de forma proativa.
• Aprimoramento da Infraestrutura de Segurança: Desenvolva uma infraestrutura de segurança mais resistente e resiliente contra ataques avançados.
• Este curso é uma oportunidade única para fortalecer as capacidades de segurança cibernética de sua equipe, garantindo uma postura defensiva mais robusta contra as ameaças em constante evolução. Junte-se a nós e capacite sua equipe para enfrentar os desafios do cenário cibernético moderno.
• Módulo 0x00 - Preparação
• =========================
• - Introdução
• - Ambiente de desenvolvimento
• - Malware multiestágio
• Módulo 0x01 - Arquitetura do C2
• ================================
• - Comunicação servidor x implante
• - Estrutura do servidor
• - Estrutura do implante
• - Estratégias de proteção da infraestrutura
• - Controle de frequencia de requisições
• - Controle de origem e infecção
• - Redirecionador de tráfego (implante <-> C2)
• - Position Independent Code (PIC)
• - Offset x RVA x VA
• - Achando o endereço do ImageBase do kernel32.dll
• - Achando o endereço do GetProcAddress
• - Delta Trick
• - Chamadas de API no contexto do PIC
• - Ofuscação de Shellcode
• - Primeiro estágio
• - Beacon
• - Reconhecimento do alvo
• - Execução de shellcode remoto
• - Segundo estágio
• - Download/Upload de arquivos
• - Execução de comandos
• - Terceiro estágio
• - AMSI patch
• - Keylogger
• - Servidor socks reverso
• - Auto remoção (Melt)
• - Técnicas de Persistência
• - DLL Side loading
• - COM Hijack
• - Schedule Tasks
• - Chaves de registro AutoRun
• - rootkit ring3
• - Ocultação de arquivos e pastas
• - Ocultação de processos
• Módulo 0x02 - Proteção do implante
• ===================================
• - (In)direct syscall
• - Decrypt condicional
• - Tipos de detecção e análises
• - Técnicas de ofuscação de código
• - Técnicas anti-reverse
• - Anti-debugger
• - Anti-VM
• - Anti-disassembler
• - Anti-sandbox
• - Anti-ferramentas de análise
• Requisitos:
• ===========
• - Conhecimentos sólidos em Sistema Operacional Windows
• - Conhecimentos sólidos em Sistema Operacional Linux
• - Conhecimentos sólidos de Rede de Computadores e Serviços de Rede
• - Experiência de programação em linguagens de alto nível (Python, Java, Go, correlatos)
• - Noções de programação em linguagens de baixo nível (Assembly, C, C++)
• - Familiaridade com Debuggers (IDA Pro, x64dbg, WinDBG)
• - Conhecimentos básicos de chamadas de API no Windows
• - Conhecimentos básicos do formato de arquivo PE (Portable Executable)
• - Familiaridade com ferramentas de Virtualização – VMWare
• Público alvo:
• =============
• - Especialistas em Segurança da Informação
• - Analista de Segurança da Informação
• - Analistas de Malwares
• - Desenvolvedores de Exploits
• - Pentesters
• - Membros de Red Team
• - Profissionais de TI com interesse e afinidade na área de Segurança da Informação
• Material necessário:
• ====================
• - Os alunos precisam de um computador (Windows, Linux ou Mac OS), com acesso de administrador e capacidade de executar de 02 Máquinas Virtuais (VM) simultaneamente
• - Configuração mínima de 8GB de RAM, 60 GB de espaço livre em disco
• - Software de Virtualização: VMWare, versão mais atualizada, de preferência Workstation (para hosts Windows ou Linux) ou Fusion (para host Mac OS), pode ser a versão trial. O VMWare Player também é capaz de executar as VMs do curso
• - ATENÇÃO: NÃO TRABALHAR COM COMPUTADORES DA APPLE (MACBOOK) COM PROCESSADORES ARM M1/M2
• Material recebido:
• ==================
• - Acesso ao portal do aluno, o GoHacking Academy
• - As Máquinas Virtuais com as aplicações utilizadas nos exercícios
• - Apostila do Curso no formato PDF
• - Certificado de Conclusão do Curso no formato PDF (com a carga horária e ementa)
• - Códigos-fonte funcionais compatíveis com a versão mais moderna do Windows que serão usados no treinamento
• Capacidades alcançadas:
• =======================
• No final do curso, espera-se que o aluno esteja apto a:
• - Entender o processo de desenvolvimento de código malicioso (malware) para o Sistema Operacional Windows
• - Entender o funcionamento das APIs do Sistema Operacional Windows
• - Compreender as etapas de construção de malware para atividades profissionais de Segurança Ofensiva
• - Construir malwares em apoio a Operações de Red Team
• - Desenvolver malwares customizados multiestágios
• - Ofuscar código malicioso
• - Entender as principais técnicas de bypass de controles de segurança utilizadas por malwares
• - Criar mecanismos de Comando e Controle (C2)

• https://www.linkedin.com/in/rafael-salema-marques-swank-717539256/

Instrutor: Joao Paulo

•   O treinamento tem o objetivo de proporcionar aos participantes um entendimento aprofundado sobre técnicas de evasão e suas aplicações práticas, tendo como alvo, o Sistema Operacional Windows.
•   O instrutor guiará os alunos por meio de exemplos práticos com foco em estratégias furtivas para contornar proteções durante campanhas de Red Team avançadas. Serão fornecidos códigos fonte que serão estudados e utilizados como exemplo, de forma que o aluno seja capaz de criar seus próprios Runners de Shellcode capazes de executar em ambientes hardenizados bem como em ambientes que possuem proteções adicionais como EDR e AMSI.

• Destaques do Treinamento:
• =========================
• 1) Abordagem Prática: O curso oferece exemplos práticos que capacitam os participantes a compreender e implementar estratégias ofensivas e, consequentemente, defensivas eficazes.
• 2) Códigos Fonte Customizados: Fornecemos códigos fonte que serão estudados e utilizados como exemplos, permitindo que os alunos desenvolvam suas próprias soluções defensivas.
• 3) Evasão de Antivirus: Aprenda e entenda como Threat Actors utilizam técnicas para contornar mecanismos de defesa.
• 4) Evasão de EDR: Aprenda e entenda como Threat Actors utilizam técnicas para contornar mecanismos de defesa avançados.
• 5) Evasao de proteções do Windows: Aprenda e entenda como Threat Actors utilizam técnicas para contornar mecanismos de defesa do sistema operacional.
• Benefícios para Empresas e SOCs:
• ================================
• Fortalecimento Defensivo: Capacite sua equipe a entender as táticas ofensivas, reforçando as estratégias defensivas contra ameaças cibernéticas complexas.
• Melhoria nas Operações de SOC: Os operadores de SOC irão adquirir conhecimentos práticos para identificar e neutralizar ameaças de forma proativa.
• Aprimoramento da Infraestrutura de Segurança: Desenvolva uma infraestrutura de segurança mais resistente e resiliente contra ataques avançados.
• Módulo 0x01 - Preparação
• =========================
• - Arquitetura do Windows
• - PE 101
• - Windows APIs
• - Funcionamento de Antivírus
• Módulo 0x02 - Antivirus e Windows Controls
• ===========================================
• - P/Invoke
• - D/Invoke
• - Shellcode Runners
• - Crypters
• - Encoders
• - Técnicas de Evasão de Antivírus
• - AMSI
• - Engenharia reversa e bypass de AMSI
• - Constrained Language Mode (CLM)
• - Unmanaged Powershell
• - Introdução Backdooring e injeção de códigos
• - Injeção de DLL
• - DLL Side loading
• Módulo 0x03 - EDR
• =========================
• - Introdução EDR
• - Funcionamento API Hooking
• - Userland Hooking
• - Bring your own vulnerable driver (BYOVD)
• - Hells Gate
• - Introdução Hallos Gate
• - Introdução Tartarus Gate
• Requisitos:
• ===========
• - Conhecimentos sólidos em Sistema Operacional Windows
• - Conhecimentos sólidos de Rede de Computadores e Serviços de Rede
• - Experiência de programação em linguagens de alto nível (Python, Powershell, Rust)
• - Noções de programação em linguagens de baixo nível (Assembly, C, C++)
• - Familiaridade com ferramentas de Virtualização – VMWare
• Público Alvo:
• =============
• - Especialistas em Segurança da Informação
• - Analista de Segurança da Informação
• - Analistas de Malwares
• - Desenvolvedores de Exploits
• - Pentesters
• - Membros de Red Team
• - Membros de CSIRT
• - Membros de SOC
• - Profissionais de Defesa Cibernética (Blue Team)
• - Profissionais de TI com interesse e afinidade na área de Segurança da Informação
• Material Necessário:
• ====================
• - Os alunos precisam de um computador (Windows, Linux ou Mac OS), com acesso de administrador e capacidade de executar de 02 Máquinas Virtuais (VM) simultaneamente
• - Configuração mínima de 8GB de RAM, 60 GB de espaço livre em disco
• - Software de Virtualização: VMWare, versão mais atualizada, de preferência Workstation (para hosts Windows ou Linux) ou Fusion (para host Mac OS), pode ser a versão trial. O VMWare Player também é capaz de executar as VMs do curso
• - ATENÇÃO: NÃO TRABALHAR COM COMPUTADORES DA APPLE (MACBOOK) COM PROCESSADORES ARM M1/M2
• Material Recebido:
• ==================
• - Acesso ao portal do aluno, o GoHacking Academy
• - As Máquinas Virtuais com as aplicações utilizadas nos exercícios
• - Apostila do Curso no formato PDF
• - Certificado de Conclusão do Curso no formato PDF (com a carga horária e ementa)
• - Códigos-fonte funcionais compatíveis com a versão mais moderna do Windows que serão usados no treinamento
• Capacidades Alcançadas:
• =======================
• No final do curso, espera-se que o aluno esteja apto a:
• - Entender o funcionamento das APIs do Sistema Operacional Windows
• - Construir payloads evasivos em apoio a Operações de Red Team
• - Desenvolver codigos customizados e refinar os existentes
• - Compreender as técnicas de evasão de Antivírus e EDR
• - Entender as principais técnicas de bypass de controles de segurança no Windows
• - Entender táticas ofensivas
• - Obter conhecimentos práticos na identificação de ameaças
• - Fortalecer as capacidades de segurança cibernética

• https://www.linkedin.com/in/joaoandradefilho/

Instrutor: Felipe "Pr0teus" Esposito e Rodrigo "Sp0oKeR" Montoro

•   Os ecossistemas dos provedores de nuvem/cloud ampliaram as superfícies de ataque, promovendo novos métodos e caminhos de exploração. Especificamente, na Amazon Web Services (AWS), estamos falando de mais de trezentos e oitenta (380+) serviços que um atacante pode utilizar para atingir seu objetivo e comprometer redes, sistemas e aplicações.
•   Esse grande cenário, complexo e intrigante, trouxe consigo inúmeras técnicas ofensivas (novas e antigas), métodos diferentes de movimentacão lateral, novas ferramentas, modos de reconhecimento e muitos aspectos ainda por serem desvendados, o que torna a Segurança em Nuvem em um trabalho desafiador e bem interessante.
•   O objetivo principal do curso é apresentar parte desses novos vetores e técnicas de ataque, entendendo como os ambientes se conectam, como utilizar esse novo arsenal de ferramentas e aprender, de forma prática, os detalhes da exploração dos serviços de nuvem em ambientes AWS.

• Destaques do Treinamento:
• =========================
• 1) Abordagem Prática: O curso oferece exemplos práticos que capacitam os participantes a compreender e implementar estratégias ofensivas e consequentemente defensivas eficazes para ambiente de nuvem/cloud AWS.
• 2) Material Atualizado: O conteúdo do curso apresenta técnicas, ferramentas e procedimentos atuais sobre segurança em ambiente de nuvem/cloud AWS.
• 3) Instrutores Experientes: O treinamento é ministrado por profissionais altamente qualificados, que são referência no cenário nacional e internacional de Segurança Cibernética.
• Benefícios para Empresas e SOCs:
• ================================
• Fortalecimento Defensivo: Capacite sua equipe a entender as táticas ofensivas em ambiente de nuvem/cloud AWS, reforçando as estratégias defensivas contra ameaças cibernéticas complexas.
• Melhoria nas Operações de SOC: Os operadores de SOC irão adquirir conhecimentos práticos para identificar e neutralizar ameaças de forma proativa em ambiente de nuvem/cloud AWS.
• Aprimoramento da Infraestrutura de Segurança: Desenvolva uma infraestrutura de segurança mais resistente e resiliente contra ataques avançados em nuvem/cloud da AWS.
• Este curso é uma oportunidade única para fortalecer as capacidades de segurança cibernética de sua equipe, focado em ambiente de nuvem/cloud AWS, garantindo uma postura defensiva mais robusta contra as ameaças em constante evolução. Junte-se a nós e capacite sua equipe para enfrentar os desafios do cenário cibernético moderno.
• Módulo 0x00 - Preparação (2h)
• ===================================
• - Introdução ao ecossistema AWS
• - O que é Cloud Security ?
• - MITRE ATT&CK Cloud
• Módulo 0x01 - Identificando e ganhando acesso a AWS. (2h)
• ============================================================
• - OSINT
• - Finding Exposed Resources
• - Dumping Creds
• Módulo 0x02 - Escalação de Privilégios (2h)
• ==============================================
• - Visão geral do Identity and Access Management (IAM)
• - Escalando Privilegios
• - AWS Identity Center
• - Roubando segredos
• Módulo 0x03 - Movimentação lateral (2h)
• ============================================
• - Data Plane
• - Control Plane
• - AWS Identity Center
• Módulo 0x04 - Evading Security Controls (2h)
• ================================================
• - Evitando o cloudtrail
• - Bypassando Guard Duty
• - Bypassando o Macie
• Módulo 0x05 - Persistência (2h)
• =====================================
• - Backdooring user accounts
• - Backdooring services
• - Backdooring CI/CD
• Módulo 0x06 - Exfiltração de dados (2h)
• ==========================================
• - Exfiltração de dados entre contas
• - Exfiltração de dados de contas avançadas
• Módulo 0x07 - CTF (2h)
• =========================
• - Exercício Hands-on
• - Recomendações Finais
• Requisitos:
• ===========
• - Conhecimentos Básicos em Sistema Operacional Windows
• - Conhecimentos Básicos em Sistema Operacional Linux
• - Conhecimentos sólidos de Rede de Computadores e Serviços de Rede
• - Experiência de programação em linguagens de alto nível (Python, Java, Go, correlatos)
• - Conhecimentos Básicos de Cloud (preferencialmente AWS)
• - Conehcimentos Básicos de Cloud Security
• - Familiaridade com Ferramentas de Virtualização (VMWare, Virtual Box)
• Público alvo:
• =============
• - Especialistas em Segurança da Informação
• - Analista de Segurança da Informação
• - Pentesters
• - Membros de Red Team
• - Membros de Blue Team
• - Membros de CSIRT
• - Membros de SOC
• - Profissionais de TI com interesse e afinidade na área de Segurança da Informação
• Material necessário:
• ====================
• - Os alunos precisam de um computador (Windows, Linux ou Mac OS), com acesso de administrador e capacidade de instalar software/programas (Terraform, Git)
• - Configuração mínima de 8GB de RAM, 40 GB de espaço livre em disco
• - Sistema Operacional MacOS ou Linux (host ou máquina virtual) com Python3
• - Ter ou criar uma conta na AWS específica para o treinamento
• Material recebido:
• ==================
• - Acesso ao portal do aluno, o GoHacking Academy
• - Acesso às ferramentas priv8
• - Apostila do Curso no formato PDF
• - Certificado de Conclusão do Curso no formato PDF (com a carga horária e ementa)
• Capacidades alcançadas:
• =======================
• No final do curso, espera-se que o aluno esteja apto a:
• - Compreender os Fundamentos da Segurança na Nuvem: Entender os conceitos básicos e os novos paradigmas da segurança em ambientes de nuvem, focando especialmente na infraestrutura da AWS.
• - Desenvolver Habilidades de Inteligência de Fonte Aberta (OSINT): Aprender a utilizar técnicas de OSINT para identificar e acessar recursos expostos na AWS, promovendo uma abordagem proativa à segurança.
• - Entender e Aplicar Técnicas de Escalação de Privilégios: Ganhar proficiência no entendimento e aplicação de técnicas para escalar privilégios em ambientes AWS, incluindo o uso eficaz do IAM e técnicas para roubar segredos.
• - Aprimorar Habilidades de Movimentação Lateral: Desenvolver habilidades para realizar movimentações laterais seguras e eficazes em ambientes AWS, compreendendo profundamente os planos de dados e controle.
• - Compreender e Evadir Controles de Segurança AWS: Aprender técnicas avançadas para evitar controles de segurança estabelecidos na AWS, incluindo a evasão de ferramentas como CloudTrail e GuardDuty.
• - Desenvolver Técnicas de Persistência: Adquirir habilidades para criar backdoors em contas de usuários e serviços AWS, permitindo operações de persistência em ambientes de nuvem.
• - Dominar Técnicas de Exfiltração de Dados: Aprender a executar técnicas avançadas de exfiltração de dados, focando na transferência segura e eficaz de dados entre contas AWS e fora delas.

• https://www.linkedin.com/in/pr0teus/
• https://www.linkedin.com/in/spooker/