تست نفوذ اکتیودایرکتوری – فصل دوم

در این بخش به فصل دوم از کتاب Pentesting Active Directory and Windows-based Infrastructure با عنوان Defense Evasion می پردازیم.

ایده اصلی این فصل ساده است – ابزار خود را بشناسید. شروع بیرون کشیدن ابزارهای تازه از GitHub پس از به دست آوردن جای پای اولیه بر روی دستگاه مورد نظر نمایید. این موارد ممکن است در برخی از آزمایشگاه‌های آموزشی به خوبی کار کند؛ با این حال، در طول تعامل واقعی، یک حریف بالغ به راحتی می‌تواند فعالیت مخرب شما را شناسایی کند.

این فصل یک راهنمای کاملاً جامع در مورد چگونگی فرار از همه تشخیص‌های ممکن نیست. Evasion یک بازی دائماً در حال تکامل بین شمشیر و سپر است. عوامل متعددی می‌توانند بر نحوه انجام عملیات تهاجمی تأثیر بگذارند، از جمله آماده سازی، توسعه ابزارهای خاص، مجموعه مهارت‌های تیم و توانایی‌های هر دو طرف. ما قرار نیست به EDR / فرار آنتی ویروس دست بزنیم. کتاب‌های عالی منتشر شده‌اند که به شما می‌آموزند چگونه راه‌های دور زدن احتمالی را پیدا کرده و توسعه دهید، از جمله حمله به خود راه‌حل‌های امنیتی.

ما بر روی قابلیت‌های امنیتی داخلی که می‌توانند در محیط ویندوز مستقر و اجرا شوند تمرکز خواهیم کرد. در این فصل قصد داریم به موضوعات اصلی زیر بپردازیم:

استقرار و دور زدن AMSI، AppLocker و PowerShell Constrained Language Mode

PowerShell Enhanced Logging را اجرا کنید، از آن اجتناب کنید و از Sysmon برای شناسایی خود استفاده کنید.

ETW چیست؟ چه قابلیت‌ها و بینش‌های اضافی می‌تواند ارائه دهد؟

دانلود فصل دوم کتاب تست نفوذ اکتیودایرکتوری