Detaillierter Kursinhalt
Tag 1
Der erste Tag stellt eine Einführung in das Thema Hacking dar. Zunächst werden die unterschiedlichen Angreifertypen vorgestellt und aufgezeigt, wie diese operieren.
Dies beinhaltet sowohl die Reconnaissance als auch die Vorbereitung für den initialen Zugriff.
Zudem werden die Ziele der Angreifer thematisiert und wie sie ihre Angriffe monetarisieren. Anschließend werden in praktischen Beispielen und Übungen das Vorgehen zur Opferauswahl vorgestellt und aufgezeigt mit welchen Techniken und Tools die Angreifer den initialen Zugriff auf ein Netzwerk oder System erhalten.
- Einführung zum Thema Hacking
- Welche Angreifertypen gibt es?
- Skript Kiddie
- Aktivisten
- Malware / Botnetze
- State sponsored (Spionage)
- Researcher
- Welche Ziele verfolgen die Angreifer?
- Eigenes Interesse / Aufmerksamkeit / Ausprobieren
- Politische Botschaften
- Monetarisierung
- Malware / Ransomware
- Erpressung mit Daten / Verkauf der Daten
- (Wirtschafts-) Spionage
- Double Extorsion
- Zerstörung / Nötigung
- Wiping
- DDos
- Aufbau der Infrastruktur
- Supply Chain Angriffe
- Wissenschaftlicher Antrieb
- Notwendiges Mindset und Vorgehensweise (Hacking 101)
- How to become a hacker
- Cyber Kill Chain
- Recon
Passive
- Shodan
- Sniffing / Intercepting (MitM)
- Log Analysis
- Google-Dorking
- Censys.io
- Ripe
- Social Media (LinkedIn, Xing, etc.)
- Git
Active
- Port scanning
- Network mapping
- SNMP enumeration
- LDAP enumeration
- SMB enumeration
- DNS enumeration
- Social Engineering
- Initial Vectors
- Social Engineering
- Physical Access
- Wireless Hacking
- Evil Insider
- Evil Maid
- Theft
- Hardware Implants
- Credentials
- Known Vulnerabilities
- Supply Chain
- Schutzmaßnahmen
- Attack surface reduction
- Rise the Bar
- Verschlüsseln von sensiblen Daten
- Awareness / Sensibilisierung
- So viel Infos wie nötig, so wenig wie möglich
- Multi-factor authentication
- Word Makros deaktivieren / signieren
- Sichere Zugänge / NAC
- Least Privilege Prinzip
- Bitlocker / Remote Wipe
- Breach List Monitoring
- Patch Management
- Proaktive Maßnahmen
- Honeypots / Baits
- What about NextGen*?
Tag 2
Am zweiten Tag wird detailliert aufgezeigt, welche Schwachstellen am häufigsten ausgenutzt werden und wie diese von den Angreifern identifiziert werden. Zudem wird die MITRE ATT&CK Matrix vorgestellt und im Rahmen von gezielten Übungen Angriffe nachgestellt, die in verschiedenen Kampagnen verwendet wurden. Dazu werden vorhandene Schwachstellen ausgenutzt und erläutert welche Schutzmaßnahmen angewendet werden können.
- Remote Vulnerabilities
- Exploit public facing application
- Weak Credentials (RDP) / Missing MFA
- Orphaned Testsystems
- Phishing
- Social Engineering / Macro Spearphishing (MS Note)
- Classic Phishing (e.g. Password stealing)
- Local Vulnerabilities
- Panther (config Failure)
- GPO’s with passwords
- Local Privilege Escalation
- DLL Hijacking
- Unquoted service path
- Local exploits (FODHelper, *Potato)
- Application Specific (Keepass config trigger) (LOCAL/SYSTEM)
- AD Vulnerabilities
- Certificate Services
- (Un-) Constrained delegation
- Zerologon
- PrintNightmare
- Kerberoasting / ASREPRoast
- Attack Framework
- Mitre Attack Matrix
- Schutzmaßnahmen
- Sad same old story: Patch, Be Aware, SelfEnum, Audit and Processes
Tag 3
Der dritte Tag stellt Techniken und Methoden vor, mit denen die Angreifer ihr Toolset an die anzugreifende Umgebung anpassen. Dies bezieht sich insbesondere auf Wege zur Umgehung von Schutzmechanismen. Im weiteren Verlauf wird gezeigt, wie Daten über eine C2 Infrastructure ausgeleitet werden können und wie die Systeme mit freien Tools versteckt werden können. Ein Einblick in die Welt des Darknet rundet den dritten Tag ab.
- Tooling / Customizing
- Welche Tools werden verwendet?
- Wie werden die Tools gemeinsam verwendet?
- Wie werden die Tools angepasst?
- EDR Evasion
- Obfuscation tools
- Signature based
- Sandbox evasion
- Behaviour Analysis
- C2 Infrastructure
- Cobalt Strike
- Covenant
- Sliver
- Merlin
- Ökonomie im Cyberbereich
- Gewaltenteilung innerhalb krimineller Gruppen
The infamous Darknet