Einleitung
In den letzten Jahren ist die Umgehung von Endpoint Protection (EPP) und Endpoint Detection and Response (EDR) Produkten zu einer immer größeren Herausforderung geworden und ist heute ein wichtiger Bestandteil jedes Red Team Engagements. Jedes EPP/EDR System hat seine eigenen Stärken und Schwächen und es gibt keine Patentlösung für die EPP/EDR Umgehung. Ein solides Verständnis der Grundlagen der EPP/EDR-Umgehung und der Entwicklung von Shellcode-Loadern ist jedoch unerlässlich, selbst auf Junior-Ebene.
In den letzten sechs Jahren habe ich mir ein umfangreiches Wissen über die Umgehung von Endpoint Security mit einer Vielzahl von unterschiedlichen Endpoint Security Produkten angeeignet. Dieses Wissen möchte ich im Zusammenhang mit dem Thema Shellcode Loader und EPP/EDR Evasion in meinem neuen Kurs "Endpoint Security Insights: Shellcode Loaders and Evasion" weitergeben.
Kursübersicht
"Endpoint Security Insights: Shellcode Loaders and Evasion" ist ein 4-tägiges Live-Online-Training, das für Infosec-Profis konzipiert ist. Meine Rolle als Dozent besteht darin, die wesentliche Theorie und Konzepte für jedes Modul oder Kapitel zu präsentieren, was etwa 20%-30% des Inhalts ausmacht. Die verbleibenden 70%-80% sind praktischen Übungen gewidmet, in denen ich Sie durch das Material führe und Ihre Fragen beantworte. Der Schwerpunkt im Zusammenhang mit dem Shellcode-Loader-Teil besteht nicht nur darin, einen evasive Shellcode Loader in C und teilweise Assembly zu bauen, sondern wir wollen auch den jeweiligen Loader debuggen und verstehen.
Da der Schwerpunkt dieses Kurses nicht ausschließlich auf Malware-Entwicklung liegt, müssen die Kursteilnehmer keinen Code von Grund auf neu schreiben, sondern müssen verschiedene Arten von Aufgaben in jedem Modul lösen, um schrittweise einen evasive Shellcode Loader zu erstellen und zu analysieren (debuggen).
Für vollständige Details, einschließlich Kursbesonderheiten, Schlüssellernziele, Zielgruppe, Kursplan und mehr, können Sie gerne sehen das angehängte PDF am Ende dieser Seite herunterzuladen.
Wer sollte teilnehmen?
Der Kurs "Endpoint Security Insights: Shellcode Loaders and Evasion" richtet sich sowohl an Anfänger als auch an Fortgeschrittene. Er bietet IT-Sicherheitsexperten, Penetrationstestern (Junior und Senior), Junior Red Teamern (interessierte Senior Red Teamers sind ebenfalls willkommen), Blue Teamern und Threat Huntern einen strukturierten Einblick in die Erstellung eines evasive Shellcode Loaders und wie Endpoint Security Produkte wie Endpoint Protection (EPP) und Endpoint Detection and Response (EDR) im Detail funktionieren.
Die Teilnehmenden lernen Schritt für Schritt einen evasive Shellcode Loader zu erstellen, zu debuggen und Endpoint Security Produkte wie EPP/EDR zu umgehen. Darüber hinaus werden grundlegende Kenntnisse über die notwendigen Abschnitte der Windows Internals vermittelt, die für ein besseres technisches Verständnis von Endpoint Security Produkten und Shellcode Loadern unter Windows notwendig sind.
Jeder Kursteilnehmer erhält
Durch die Teilnahme am Kurs "Endpoint Security Insights" erhält jeder Teilnehmer:
- Einen dynamischen 4-tägigen Online-Kurs mit interaktivem Lernen (70%-80% praktisch)
- Zugang zu einem dedizierten LAB für jeden Teilnehmer
- Umfassende Folien und detaillierte Playbooks für alle Module
- Zugang zu allen Workshop-POCs
- Ein 60-tägiger Zugang zum dedizierten Workshop-Discord-Kanal
- Ein Abschlusszertifikat als Anerkennung für die Teilnahme am Kurs
Tickets
Erweitern Sie strukturiert Ihr Wissen über Endpoint Security Evasion und evasive Shellcode-Loader und sichern Sie sich Ihren Platz im Kurs "Endpoint Security Insights: Shellcode Loaders and Evasion".
Wichtige Kursinformationen
- Trainingsformat: Live-Online
- Trainingsdatum: TBA
- Sitzplätze Maximum: 8
- Ticketpreis: 2499€ (exklusive MwSt.)
Um sich für das Training zu registrieren, senden Sie bitte eine E-Mail an office@redops.at. Bitte beachten Sie, dass Ihre Firmen-E-Mail-Adresse für die Kursanmeldung zwingend erforderlich ist. Anfragen über E-Mail-Anbieter wie gmx, gmail etc. werden nicht beantwortet.
Disclaimer
Die grundlegenden Inhalte für dieses Training sind in verschiedenen Formen frei im Internet verfügbar. Ich möchte klarstellen, dass ich in meinem Training keine neuen Taktiken, Techniken etc. vorstelle. Wenn Sie meine Begeisterung für das autodidaktische Lernen teilen, möchte ich Sie ermutigen, diese Ressourcen selbst zu erkunden und die enorme Fülle an Informationen, die online verfügbar sind, zu nutzen.
Wenn Sie jedoch auf der Suche nach einem qualitativ hochwertigen Live-Training und einem strukturierten Ansatz sind, um einige grundlegende Konzepte zur Umgehung von Endpunktsicherheit und Shellcode Loadern zu erlernen, dann ist mein Kurs "Endpoint Security Insights: Shellcode Loaders and Evasion" eine gute Wahl für Sie.
Non-Disclosure Agreement
Bitte beachten Sie, dass jeder Teilnehmer vor Kursbeginn eine Vertraulichkeitsvereinbarung (Non-Disclosure Agreement, NDA) unterzeichnen muss. Dies stellt sicher, dass der Teilnehmer zustimmt, sein persönliches Kursmaterial nicht an Dritte weiterzugeben, alles, was er lernt, nur in einem ethischen Kontext zu verwenden, und keine Daten/Informationen über das, was er gelernt hat oder den Kurs selbst, an Anbieter von Sicherheitsprodukten weiterzugeben. Detaillierte Informationen oder das ausdrückliche NDA-Dokument werden allen Teilnehmern vor dem Kurs zugesandt.
Ich freue mich auf ein tolles Training!
Daniel Feichter
Häufig gestellte Fragen (FAQs)
Ist es zwingend erforderlich, das unterschriebene Non Disclosure Aggrement (NDA) vor Kursbeginn an die RedOps GmbH zu senden?
Ja, die Übermittlung der unterschriebenen NDA ist für jeden Kursteilnehmer separat zwingend erforderlich. Bitte senden Sie diese bis spätestens 1 Woche vor Kursbeginn an office@redops.at.
Erhalte ich Kursunterlagen wie Folien und Handouts?
Wenn Sie sich für den Kurs anmelden, erhalten Sie eine mit einem Wasserzeichen versehene PDF-Kopie der Kursunterlagen. Diese PDF-Datei, die mit Ihrem vollständigen Namen und Ihrer E-Mail-Adresse versehen ist, wird Ihnen vor Kursbeginn elektronisch zugesandt. Eine Weitergabe an Dritte ist strengstens untersagt und führt zum Ausschluss von zukünftigen Kursen.
Kann ich Sie vor dem Starttermin kontaktieren, damit ich mich optimal vorbereiten kann?
Ja, selbstverständlich. Bei Fragen oder Unklarheiten wenden Sie sich bitte an office@redops.at. Um den Prozess zu beschleunigen, erwähnen Sie bitte "Training Vorbereitung" in der Betreffzeile Ihrer E-Mail. Grundsätzlich ist aber keine große Vorbereitung notwendig, da wir die notwendigen Grundlagen im Training ausgiebig behandeln.
Welche Software benötige ich für den Kurs?
- Host OS Windows 10 Professional 64-bit
- Microsoft Remote Desktop Client (Zugriff Jump Host)
- Zoom Client (zur Teilnahme an dem Workshop)
- Discord Account (Für schriftliche Fragen während des Workshops)
Wie erhalte ich Zugang zu den LABs, die mit diesem Kurs verbunden sind?
Der Zugang zum LAB erfolgt über RDP (3389), erreichbar über den Microsoft Remote Desktop Client über jede uneingeschränkte Internetverbindung.
Sind die Labore auch nach Kursende online zugänglich?
Bitte beachten Sie, dass die Labore nur während der Dauer des Kurses zur Verfügung stehen. Nach Kursende werden die Labore deaktiviert. Sie erhalten aber selbstverständlich alle Workshop POCs und können diese in Ihrem eigenen LAB in Ihrem Unternehmen oder zu Hause weiter verwenden.
Kann ich mein bevorzugtes Command and Control (C2) Framework für die Laborübungen verwenden?
In der offiziell bereitgestellten LAB-Umgebung wird ausschließlich die freie Version des Metasploit-Frameworks verwendet. Die bereitgestellten Shellcode-Loader-POCs sind grundsätzlich für die Verwendung mit verschiedenen C2-Frameworks ausgelegt. Sie können jedoch gerne Ihr bevorzugtes C2-Framework außerhalb der offiziellen LAB-Umgebung verwenden. Bitte beachten Sie jedoch, dass ich mit dem von Ihnen gewählten C2-Framework möglicherweise nicht vertraut bin und Sie während der Übungen nicht vollständig unterstützen kann.
Erhalten Kursteilnehmer am des Kurses ein Zertifikat?
Alle Kursteilnehmer, die den Kurs abgeschlossen haben, erhalten ein digitales Zertifikat als Teilnahmebestätigung.
Gibt es eine Mindestteilnehmerzahl für die Durchführung des Kurses?
Ja, bei zu geringer Teilnehmerzahl behalten wir uns das Recht vor, den Kurs abzusagen. In diesem Fall informieren wir Sie so schnell wie möglich und bieten Ihnen eine volle Rückerstattung oder einen Platz in einem späteren Kurs an.