Zurück

RedOps Training

Wer nichts weiß, muss alles glauben

Sowohl das rote als auch das blaue Team sollten regelmäßig Zeit und Ressourcen in die Ausbildung ihrer Teammitglieder investieren. Ich persönlich investiere viel Zeit in Forschung und Lehre und biete meinen Studenten einen praxisorientierten Ansatz. Ich bin zwar auf offensive Sicherheit spezialisiert, insbesondere auf Bereiche wie Windows Internals, EDR-Bypassing, Malware-Entwicklung und Debugging, aber ich wechsle auch immer wieder die Perspektive und beschäftige mich mit der defensiven Seite, um mein Wissen zu erweitern.

DEF CON 31 Workshop

Eines meiner Steckenpferde sind die Bereiche Windows Internals, Malware Development und Antivirus (AV) sowie Endpoint Detection and Response Systeme (EDR). Wer sich einen ersten Eindruck von meiner Expertise und Liebe zum Detail machen möchte, ist herzlich eingeladen, einen Blick in die folgenden Workshopunterlagen zu werfen, in die ich mehrere Monate an Zeit investiert und im Rahmen eines eintägigen Workshops mit dem Titel "(In)direct Syscalls: A journey from high to low" im Red Team Village auf der DEF CON 31 in Las Vegas vorgetragen habe. Die Workshop-Materialien für den DEF CON 31 Workshop sind völlig kostenlos und der gesamte Workshop kann mit Hilfe der Workshop-Materialien selbstständig im eigenen virtuellen LAB durchgeführt werden. Die technischen Workshopvoraussetzungen sind hier zu finden.

Online Live Training: Endpoint Security Insights

Ich freue mich, Ihnen meinen Live-Online-Kurs "Endpoint Security Insights: Shellcode Loaders and Evasion" vorzustellen. Der Schwerpunkt dieses Kurses liegt darauf, mehr über die Windows Internals zu lernen, die notwendig sind, um besser zu verstehen, wie EDRs unter Windows funktionieren und welche Mechanismen sie unter Windows verwenden. Wir werden auch einen Shellcode-Loader erstellen, debuggen und Schritt für Schritt verstehen, der verschiedene grundlegende Umgehungstechniken wie Unhooking, indirekte Syscalls, Shellcode-Verschlüsselung, Spielen mit Metadaten usw. verwendet, um EDR-Mechanismen wie User Mode Hooking, Return Address Checking usw. zu umgehen. Die Teilnehmer werden auch die Möglichkeit haben, ihre Loader gegen ein Enterprise EPP/EDR zu testen.

Die Umgehung von Endpoint Protection-Produkten (EPPs) und Endpoint Detection and Response-Produkten (EDRs) ist in den letzten Jahren immer schwieriger geworden und zu einem wichtigen Bestandteil eines jeden Red Team-Einsatzes geworden. Jedes EDR ist anders, hat unterschiedliche Stärken und Schwächen und es gibt kein Patentrezept für die Umgehung von EDRs. Aber zumindest die Grundlagen des EDR-Evasion und der Entwicklung von Shellcode-Loadern sind wichtig, auch für Anfänger.

In den letzten fünf Jahren habe ich viel Erfahrung mit der Umgehung von Endpoint Security mit vielen verschiedenen Produkten gesammelt und möchte einen Teil meines Wissens in meinem Kurs "Endpoint Security Insights: Shellcode Loaders and Evasion" weitergeben. Zuerst werden wir uns die Grundlagen von Windows Internals anschauen, um besser zu verstehen, wie EDRs unter Windows funktionieren. Danach werden wir uns die Abwehrmechanismen von EDRs wie User Mode Hooking und ETW genauer anschauen, um dann mögliche Techniken wie Unhooking, direkte oder indirekte Syscalls, das Spielen mit Metadaten, Entropie, etc. zu betrachten, um diese Mechanismen oder EDRs zu umgehen.

Für weitere Informationen, Details zum Kurs und um Tickets zu buchen, folgen Sie bitte diesem Link.

Warum mit RedOps trainieren?

Ich investiere viel Zeit in Lehre und Forschung und liebe es, mich in ein Thema zu vertiefen. Eine meiner großen Stärken ist es, komplexes Wissen so aufzubereiten und zu vermitteln, dass es auch ein Laie verstehen und anwenden kann. Wer mich kennt, meine Blogbeiträge liest oder meine Konferenzvorträge verfolgt, weiß, dass ich ein Faible für Details habe und die einfache und verständliche Vermittlung von Wissen für mich an erster Stelle steht. Mein Ziel ist es nicht, quantitativ zu arbeiten, sondern qualitativ hochwertige Workshopinhalte zu liefern.

Verantwortung und Integrität

Wer Offensive Security Services in Anspruch nimmt und sich bewusst einem ethischen Hackerangriff aussetzt, sollte dies mit einem Partner tun, auf den er sich absolut verlassen kann. Ich behandle alle Informationen streng vertraulich und bin 100% integer in dem, was ich tue.
Forschungsorientierung

IT-Security ist kein Produkt, sondern ein ständiger Lernprozess. Deshalb investiere ich viel Zeit in Weiterbildung und Forschung. Meine Ergebnisse im Bereich Endpoint Security konnte ich bereits auf mehreren internationalen IT-Security Konferenzen präsentieren.
Qualität statt Quantität

Mit der Offensive Security habe ich meine Leidenschaft zu meiner Kernkompetenz gemacht. Ich verkaufe keine Produkte oder Lizenzen, sondern lebe rein von meiner Expertise im Bereich der IT-Security. Qualität geht bei mir klar vor Quantität.

Making sense of IT:Security

Red Team Approach

Beim Red Team Approach handelt es sich um ein Tool, das kleinen und mittleren Unternehmen (KMUs) ermöglicht, reale Cyber-Angriffe zu simulieren.

Assumed Breach

Das Assumed Breach Szenario ermöglicht eine Angriffssimulation mit Fokus auf die Post-Breach-Phase im Unternehmensnetzwerk.

Egress / C2-Test

Der Egress / C2-Test untersucht, über welche Protokolle, Ports und Kanäle ein böswilliger Angreifer Command and Control (C2) Verbindungen von innen nach außen aufbauen kann.