Purple Team: Offensive & Defensive Security. Расширенный курс.

Курс является базовым курсом профессионального цикла Программы переподготовки.
Программа курса включает все необходимые принципы и концепции, применяемые:

  • в области противодействия хакерским...

Описание курса:

Курс является базовым курсом профессионального цикла Программы переподготовки.
Программа курса включает все необходимые принципы и концепции, применяемые:

  • в области противодействия хакерским атакам;
  • в сфере защиты информации, методик проведения тестирования на проникновение, а также практических навыков по сбору информации о компьютерных системах;
  • в планировании и осуществлении атак на защитные механизмы операционных систем и приложений;
  • в работе со средствами выявления уязвимостей и обнаружения атак;
  • в выполнении анализа вредоносного программного обеспечения;
  • оперативная разведка по открытым источникам;
  • разведка в даркнете. 

Значительная часть курса (70%) посвящена практической работе со средствами поиска уязвимостей систем и обнаружения атак (как свободно распространяемых, так и коммерческих).

Процесс освоения данной учебной дисциплины направлен на формирование/совершенствование у слушателей следующих профессиональных компетенций:

  • общепрофессиональной, профессиональной (в проектной деятельности, в организационно управленческой деятельности, в эксплуатационной деятельности).

Цель курса:

Повысить уровень знаний слушателей, необходимых для их профессиональной деятельности по обеспечению «Информационной безопасности объектов информатизации на базе компьютерных систем».

Требование для слушателей:

Курс проводится по запросам заказчиков на их территории и наличия у них необходимого оборудования и согласованной с исполнителем программы обучения. Стоимость обучения определяется после утверждения программы курса и графика проведения занятий заказчиком. Учебная группа - не менее 10 слушателей.

Программа курса

    Цель: Заложить фундамент: правовые основы, подготовка среды, пассивный и активный сбор информации. ­ Введение и среда.
  • (RT Теория): Введение в кибербезопасность. Роли (Red, Blue, Purple), Threat Actors, Kill Chain, MITRE ATT&CK, CIA Triad. Юридические аспекты (Rules of Engagement).
  • (RT Практика): Установка и настройка лабораторной среды (VirtualBox, Kali Linux, Windows VM). Базовые команды Linux, настройка сети (Bridged/NAT), установка инструментов (netcat, python).
  • (BT Теория/Практика): Основы защиты сетей. Знакомство с Wireshark. Анализ ICMP (ping) трафика. Настройка базовых правил брандмауэра (Windows Defender Firewall) для блокировки входящих соединений.
    • ­ Пассивная разведка (OSINT).
  • (RT Теория): Пассивная разведка (OSINT). Сбор данных без взаимодействия. Google Dorks, поиск по доменам (WHOIS, DNS), социальные сети (theHarvester, Maltego).
  • (RT Практика): ЛР №1: OSINT на вымышленную компанию. Сбор email-адресов, поддоменов (Sublist3r, Amass), поиск утекших данных, анализ метаданных документов (FOCA, exiftool).
  • (BT Практика): ЛР №2: Blue Team OSINT. Обнаружение собственных утечек. Использование сервисов HaveIBeenPwned, анализ DNS-записей (SPF, DMARC) для оценки риска фишинга.
    • ­ Активная разведка.
  • (RT Теория): Активная разведка. Сканирование сетей. Nmap: типы сканирования (TCP SYN, UDP), определение ОС и версий сервисов. Обход IDS/IPS (фрагментация, тайминги).
  • (RT Практика): ЛР №3: Активное сканирование цели. Проведение полного сканирования Nmap (порты, сервисы, ОС). Использование NSE-скриптов (vuln, discovery). Составление карты сети.
  • (BT Практика): ЛР №4: Обнаружение сканирования. Настройка Snort/Suricata для детектирования сканирования Nmap. Анализ логов сетевых устройств (роутер, файрвол). Изучение сигнатур для SYN-сканирования.
    • ­ Энумерация сервисов.
  • (RT Теория): Энумерация. Сбор детальной информации о сервисах: SMB (enum4linux), SNMP (snmpwalk), FTP (анонимный доступ), SMTP (VRFY). Поиск misconfiguration.
  • (RT Практика): ЛР №5: Энумерация служб. Анализ SMB-шар, получение информации через SNMP, анонимный вход на FTP. Поиск чувствительных файлов (config, backup).
  • (BT Практика): ЛР №6: Защита сервисов. Безопасная настройка SMB (отключение SMBv1), SNMP (смена community string), FTP (запрет анонимного доступа). Аудит прав доступа к общим ресурсам.
    Цель: Изучение веб-уязвимостей, получение доступа, работа с шеллами. ­ Веб-приложения и прокси.
  • (RT Теория): Введение в веб-приложения. OWASP Top 10. HTTP(S), сессии, куки. Burp Suite: Proxy, Repeater, Intruder.
  • (RT Практика): ЛР №7: Работа с Burp Suite. Перехват и модификация запросов в Juice Shop. Анализ заголовков.
  • (BT Практика): ЛР №8: Защита веб-приложений. Настройка WAF (ModSecurity) для блокировки типовых атак (SQLi, XSS). Анализ логов веб-сервера (Apache/Nginx).
    • ­ SQL Injection.
  • (RT Теория): SQL Injection (SQLi). Теория: UNION, Error-based, Blind (boolean, time-based). Обход фильтров.
  • (RT Практика): ЛР №9: Ручная эксплуатация SQLi. Выполнение UNION-инъекции для извлечения данных из БД. Использование time-based инъекции.
  • (BT Практика): ЛР №10: Защита от SQLi. Использование параметризованных запросов (prepared statements) в коде. Настройка СУБД для минимизации прав. Анализ логов БД.
    • ­ XSS и File Upload.
  • (RT Теория): Клиент-сайд атаки. XSS (Reflected, Stored, DOM). File Upload уязвимости (MIME-spoofing, двойные расширения). PDF/Office Macro атаки.
  • (RT Практика): ЛР №11: Эксплуатация XSS и File Upload. Выполнение stored XSS. Загрузка web-shell через уязвимую форму загрузки.
  • (BT Практика): ЛР №12: Защита от XSS и вредоносных файлов. Настройка Content Security Policy (CSP). Использование антивирусов/EDR для проверки загружаемых файлов. Ограничение прав на выполнение в директориях загрузки.
    • ­ Шеллы и удаленный доступ.
  • (RT Теория): Получение доступа. Reverse shell vs Bind shell. Web shells. Стабилизация шелла (TTY upgrade). PowerShell для Windows.
  • (RT Практика): ЛР №13: Работа с шеллами. Получение reverse shell через netcat. Апгрейд до полноценного TTY. Генерация PowerShell reverse shell.
  • (BT Практика): ЛР №14: Обнаружение шеллов. Мониторинг исходящих соединений. Анализ журналов событий Windows (Event ID 4688) и Linux (auditd) на предмет запуска подозрительных процессов.
    Цель: Повышение прав, закрепление в системе, горизонтальное перемещение. ­ Эскалация привилегий в Linux.
  • (RT Теория): Методы LPE в Linux. SUID-бинарники, уязвимые cron-задачи, права sudo (GTFOBins), kernel exploits, writable файлы.
  • (RT Практика): ЛР №15: Повышение прав в Linux. Использование LinPEAS для энумерации. Эксплуатация SUID-бинарника (find, vim) и уязвимого sudo.
  • (BT Практика): ЛР №16: Защита Linux систем. Аудит прав SUID/SGID. Настройка sudoers (NOPASSWD, ограничения). Использование AppArmor/SELinux. Мониторинг cron-задач.
    • ­ Эскалация привилегий в Windows.
  • (RT Теория): Методы LPE в Windows. Unquoted service paths, уязвимые службы, AlwaysInstallElevated, токены (SeImpersonate), DLL Hijacking, UAC Bypass.
  • (RT Практика): ЛР №17: Повышение прав в Windows. Использование WinPEAS. Эксплуатация уязвимой службы. Использование JuicyPotato/PrintSpoofer.
  • (BT Практика): ЛР №18: Защита Windows систем. Аудит прав служб. Настройка UAC. Внедрение правил AppLocker. Мониторинг изменений в реестре (Autoruns).
    • ­ Методология и persistence.
  • (RT Теория): Закрепление (Persistence). Методы для Linux (cron, SSH keys) и Windows (Run keys, scheduled tasks, services). Пост-эксплуатация: дамп хэшей (mimikatz, secretsdump).
  • (RT Практика): ЛР №19: Закрепление и дамп кредов. Настройка persistence через cron и автозагрузку. Дамп хэшей SAM и LSASS.
  • (BT Практика): ЛР №20: Обнаружение закрепления. Мониторинг планировщика задач, реестра и автозагрузок (Sysinternals Autoruns). Сбор и анализ артефактов.
    • ­ Фреймворки и туннели.
  • (RT Теория): Фреймворк Metasploit. Модули, payload'ы (staged/non-staged), Meterpreter. Перенаправление портов и туннелирование (SSH Local/Remote/Dynamic, Chisel, ligolo).
  • (RT Практика): ЛР №21: Metasploit и Pivoting. Получение Meterpreter сессии. Использование post-модулей (hashdump). Настройка pivoting через autoroute и proxychains.
  • (BT Практика): ЛР №22: Обнаружение C2 и туннелей. Анализ сетевого трафика (Wireshark) на предмет SSH-туннелей и C2-коммуникаций. Детектирование работы Metasploit по сигнатурам.
    Цель: Атака на корпоративную инфраструктуру (AD) и человеке. ­ Active Directory - Введение и разведка.
  • (RT Теория): Основы Active Directory. Объекты, OU, домены, леса. Аутентификация Kerberos и NTLM. Разведка в AD (BloodHound).
  • (RT Практика): ЛР №23: Разведка в AD. Настройка тестового домена. Сбор информации с помощью PowerView. Использование SharpHound и анализ графа в BloodHound.
  • (BT Практика): ЛР №24: Мониторинг AD. Аудит событий домена. Настройка аудита для отслеживания изменений в группах (Domain Admins). Мониторинг подозрительных запросов Kerberos.
    • ­ AD – Атаки.
  • (RT Теория): Атаки на AD. Kerberoasting, AS-REP Roasting, Pass-the-Hash, Golden Ticket, DCSync.
  • (RT Практика): ЛР №25: Эксплуатация AD. Извлечение TGS-хэшей (Kerberoasting). Брутфорс хэша. Использование Pass-the-Hash для lateral movement. DCSync-атака.
  • (BT Практика): ЛР №26: Защита AD. Политики сложных паролей. Настройка Managed Service Accounts (gMSA). Обнаружение Pass-the-Hash (события входа). Мониторинг DCSync (Event ID 4662).
    • ­ Фишинг и клиент-сайд атаки.
  • (RT Теория): Социальная инженерия. Фишинг: анатомия письма, сбор email-адресов. Инструменты: Gophish. Вредоносные вложения: Office-макросы, обфускация (MacroPack).
  • (RT Практика): ЛР №27: Фишинговая кампания. Настройка Gophish. Создание шаблона письма. Генерация и обфускация macro-вредоноса. Симуляция доставки.
  • (BT Практика): ЛР №28: Защита от фишинга. Настройка спам-фильтров. Анализ заголовков email. Политики выполнения макросов в Office. Обучение сотрудников (симуляция фишинга).
    • ­ Обход антивирусов (AV/EDR).
  • (RT Теория): Принципы работы AV и EDR. Сигнатурный анализ, эвристика, поведенческий анализ. Техники обхода: шифрование, обфускация, имплантация в память.
  • (RT Практика): ЛР №29: Обход защиты. Написание простого XOR-шифратора на Python. Компиляция стейджера (pyinstaller). Тестирование payload на Windows Defender.
  • (BT Практика): ЛР №30: Анализ вредоносного ПО. Использование песочниц (Cuckoo, Hybrid Analysis) для анализа подозрительных файлов. Работа с YARA-правилами.
    Цель: Изучение сложных сценариев атак, инструментов C2 и автоматизации. ­ Red Team - C2 и операции.
  • (RT Теория): Red Team vs Pentest. C2 фреймворки (Sliver, Cobalt Strike). Жизненный цикл операции: эмуляция противника. Автоматизация (.rc скрипты).
  • (RT Практика): ЛР №31: Работа с C2 (Sliver). Развертывание Sliver. Создание слушателя и генерация стейджера. Получение beacon-сессии. Выполнение задач.
  • (BT Практика): ЛР №32: Обнаружение C2. Анализ трафика C2 (HTTP/HTTPS-beacon). Выявление артефактов работы Sliver/Cobalt Strike на хосте. Использование EDR для обнаружения.
    • ­ Атаки на API и SSRF.
  • (RT Теория): Сервер-сайд атаки. SSRF (Server-Side Request Forgery), API Security (BOLA, массовое присвоение). Небезопасная десериализация.
  • (RT Практика): ЛР №33: Эксплуатация SSRF и API. Эксплуатация SSRF для доступа к внутренним сервисам (метаданные облака). Поиск BOLA в учебном API (crAPI).
  • (BT Практика): ЛР №34: Защита API. Настройка лимитов (rate limiting). Валидация входящих данных. Сегментация сети для изоляции внутренних сервисов.
    • ­ Атаки на пароли и криптографию.
  • (RT Теория): Атаки на пароли. Словари, правила мутации. Инструменты: Hashcat, John the Ripper. Атаки на сетевые протоколы (Hydra).
  • (RT Практика): ЛР №35: Взлом хэшей и брутфорс. Извлечение и взлом NTLM хэшей. Брутфорс SSH-логина с помощью Hydra. Использование правил (rules) в Hashcat.
  • (BT Практика): ЛР №36: Политики паролей. Настройка политик сложности паролей в AD. Внедрение многофакторной аутентификации (MFA). Блокировка аккаунтов после неудачных попыток.
    • ­ Написание эксплойтов и автоматизация.
  • (RT Теория): Автоматизация с Python. Создание пор-сканера, баннер-граббера. Поиск уязвимостей (CVE) через публичные базы (Exploit-DB).
  • (RT Практика): ЛР №37: Автоматизация атаки. Написание Python-скрипта для автоматизации SQLi (time-based) или для поиска и запуска публичного эксплойта (searchsploit).
  • (BT Практика): ЛР №38: Автоматизация защиты. Написание скрипта для агрегации и анализа логов. Создание корреляционных правил для SIEM.
    Цель: Изучение новых областей, документирование результатов, финальный экзамен. ­ OSINT и Darkweb
  • (RT/BT Теория): OSINT в даркнете. Архитектура Tor, принципы анонимности. Разведка по криптовалютным транзакциям.
  • (RT/BT Практика): ЛР №39: Расследование в Darkweb. Установка и настройка Tor Browser. Анализ блокчейна Bitcoin. Поиск утечек данных на форумах.
  • (BT Практика): ЛР №40: Мониторинг даркнета. Использование инструментов для мониторинга утечек корпоративных данных в даркнете.
    • ­ Составление отчетов.
  • (RT/BT Теория): Искусство составления отчета. Executive Summary vs Technical Report. Структура OSCP-style отчета. Использование AI (ChatGPT) для полировки текста.
  • (RT/BT Практика): ЛР №41: Создание отчета. Форматирование черновика (working notes) в готовый отчет. Добавление доказательств (скриншоты, команды).
  • (BT Практика): ЛР №42: Рекомендации по защите. На основе отчета по атаке, формулирование конкретных рекомендаций для Blue Team. Заполнение матрицы MITRE ATT&CK.
    • ­ Итоговый практический экзамен.
  • Введение в экзамен. Выдача целей (сложная сеть из нескольких машин, включая AD).
  • Финальный экзамен (Red Team). Студенты проводят полный цикл атаки: разведка → эксплуатация → эскалация привилегий → перемещение → захват домена.
  • Финальный экзамен (Blue Team). Студенты анализируют логи и трафик, сгенерированный во время атаки, и пишут отчет о защите: как были обнаружены действия, какие правила сработали, что можно улучшить.
    • ­ Защита проектов и подведение итогов.
  • Подготовка презентаций.
  • Защита Purple Team проектов. Студенты представляют результаты атаки и защиты, демонстрируя понимание полного цикла.
  • Подведение итогов курса. Карьерные возможности, обзор сертификаций (OSCP, PNPT, Security+). Заключительное обсуждение и обратная связь.

Возврат к списку