類別一:Exploitation Technique

Windows Binary Exploitation

[12 小時] [中文]
日期:2020 年 9 月 5 日 - 2020 年 9 月 6 日 (二天)
講師:楊安傑 (Angelboy)
票價:NTD 44,000 NTD 30,800
課程難易度:普通

本課程將會從基本的 Windows Binary Exploit 所需知識開始教起,並介紹一般常見 C/C++ 中常會出現的漏洞,怎樣寫 code 會有問題,並在目前系統的各種保護下,該如何利用所發現的漏洞,也將學習到一般寫程式該如何寫出更安全的程式碼及更要注意的地方,最後將會依自己的經驗介紹一些利用上的奇技淫巧。

1.Security coding
2.Shellcoding
3.Return to library
4.Return-Oriented Programming
5.Heap Exploitation

基本資料結構、作業系統、C 語言及 Python 基礎應用、組合語言

Windows 10(1903 之後的版本)64 bit Enterprise 或 Professional 虛擬機須為任何一台可以跑 pwntools 的環境

Windows Kernel Exploitation

[12 小時] [中文]
日期:2020 年 9 月 8 日 - 2020 年 9 月 9 日 (二天)
講師:楊安傑 (Angelboy)
票價:NTD 44,000 NTD 30,800
課程難易度:困難

在有了基本的 Windows Binary Exploitation 概念後,本課程會介紹一些 Windows 的運作機制,並帶大家理解部分的 Windows 核心 ,以及 Windows Kernel 或 Driver 常見的漏洞以及 Windows Kernel 中的保護機制,並利用這些漏洞來繞過這種保護,並獲得 Kernel Code Execution ,進而達到 Elevation of Privilege (提權),課程最後會以今年的 CVE-2020-0796 作為範例,培養各種不同的利用思路。

1.Debug Windows Kernel
2.Basic Knowledge
 ●Windows Driver Model
 ●IRQL
 ●Integrity Levels
 ●Access token
 ●Privileges
 ●Security descriptor
 ●MMU
 ●Process
3.Protection in Windows Kernel
 ●Windows Kernel Exploitation
 ●Information Leak
 ●Kernel Mode ROP
 ●From crash to arbitrary memory reading/writing
 ●Abusing MDL
 ●From arbitrary memory reading/writing to code execution
4.Windows Kernel Shellcode
 ●Steal token
 ●APC injection
5.Case Study
 ●CVE-2020-0796 - SMBGhost

python、 Windows binary exploitation、C/C++、組合語言、資料結構、作業系統

 ●Guest:Windows 10 1909 Pro/Enterprise 64bit VM
 ●Host:Windows 10 2004 Pro/Enterprise 64bit 為佳 (Win10 64 bit 其他版本亦可)

類別二:DevSecOps

左移!自動化資安測試

[6 小時] [中文] 
日期:2020 年 9 月 8 日 (一天)
講師:YSc
票價:NTD 17,000 NTD 11,900
課程難易度:普通

越來越多公司採納敏捷式開發(Agile)以及 DevOps 的文化,但如何在快速的開發環境下持續保有資安,則是近幾年開始被討論的議題。 「DevSecOps」的概念,就是希望能將資安融入在快速、持續交付的文化中,讓產品不斷推進的同時,也可以持續保持在足夠的安全性上。 課程著重在 DevSecOps 其中的資安測試部分:CI/CD 導入資安測試的方法和實作,包含靜態安全測試(SAST)、動態安全測試(DAST)、軟體組建分析(SCA)等測試方法。 測試工具將會以開源工具為例,並介紹導入工具時的思路、培養我們套用其他工具時的思考方式。 本次課程會從介紹 DevSecOps 的概念、導入資安工具、資安流程自動化,到掃描結果的弱點管理,帶大家實際感受將資安測試「左移」的體驗。

1.DevOps & DevSecOps 介紹
2.Lab: 先來一條 CI/CD Pipeline
3.網站安全,以駭客角度看網站
4.Lab: SAST、在 CI 中整合測試、弱點管理與分析
5.動態測試與環境配置
6.Lab: DAST、SCA、CI/CD 資安強化
7.DevSecOps 目標與理念

課程適合想強化產品資安的工程師、SRE 工程師以及資安工程師。
建議具備以下經驗:
 ●雲端服務:AWS 或 GCP 等使用經驗
 ●開發環境:Linux、Git、Docker、Python 使用經驗
 ●其他(非必要):Scrum、CI/CD 經驗為佳

Google Cloud Platform 帳號
Linux 或 Mac OSX 環境、預裝好 Docker、Git、Python

類別三:ICS/SCADA Security

Red Team vs. Blue Team Exercises for ICS/SCADA Security

[12 小時] [中文] 
日期:2020 年 9 月 7 日 - 2020 年 9 月 8 日 (二天)
講師:Mars Cheng
票價:NTD 33,000 NTD 23,100
課程難易度:普通

近年來關鍵基礎設施領域 (煉油、電力及智慧製造等) 的資安事件層出不窮,世界各國的關鍵基礎設施均有遭受攻擊的案例。然而大多的關鍵基礎設施中使用著工業控制系統維運著各項基礎設施的運行,因此其資安問題也日漸受到重視。然而工業控制系統與資訊安全從業人員的背景知識存在著相當大的隔閡,往往工控領域從業人員不懂資安,而資安從業人員對工控領域也一竅不通。因此本課程將專門針對各種背景的學員,使其能一窺工控資安的奧妙。本課程將深入淺出的建構工業控制領域相關的背景資訊、說明與實作工業控制系統會遭受哪些攻擊以及該如何進行有效的偵測與防禦,為學員打造攻擊與防禦的完備知識。同時本課程也將與 ATT&CK for ICS 高度耦合,將工控資安的知識庫,完整的展示在學員們的面前,並講授該如何使用。在課程中,學員會練習超過 10 個攻擊與防禦的實作練習。

1.工業控制系統概觀
 ●何謂工業控制系統?(Lab)
 ●工業控制系統資安威脅與趨勢
 ●工業控制系統網路架構與攻擊面向(Lab)
 ●工業控制系統市場與資安解決方案概觀
 ●ATT&CK for ICS 簡介與剖析
2.工業控制通訊協定簡介
 ●常見的工業控制通訊協定簡介與安全性剖析(水力、電力領域等)
 ●一般領域常用:Modbus RTU/TCP, Siemens S7, EtherNet/IP, OPC, and BACnet
 ●電力領域:IEC104, DNP3, IEC 61850
 ●Modbus RTU/TCP 通訊協定剖析
 ●OPC-UA 通訊協定剖析
 ●Siemens S7 通訊協定剖析
3.工業控制通訊協定分析
 ●Wireshark 簡介
 ●T801-Monitor Process State 分析實作 (Lab)
4.工業控制通訊協定攻擊與防禦實作
 ●環境設定與說明
 ●通訊協定攻擊實作
●T841-Network Service Scanning 實作 (Lab)
●T836-Modify Parameter 實作 (Lab)
●T842-Network Sniffing 實作 (Lab)
●T856-Spoof Reporting Message 實作 (Lab)
 ●模糊測試簡介
 ●通訊協定攻擊偵測與防禦 (Lab)
5.工業控制相關的惡意程式分析與偵測
 ●工控惡意程式分析實作 (Lab)
●T866 - Exploitation of Remote Services
●T826 - Loss of Availability
 ●工控惡意程式偵測實作 (Lab)

具備基本 Linux 指令操作能力

VMware Player or Workstation、VMware Fusion,課程預計同時開啟 3 套VM(ova) ,硬碟空間需求 50G 以上,記憶體 8G 以上

類別四:IoT Security

Red Team vs. Blue Team Exercises for IoT Security

[12 小時] [中文]
日期:2020 年 9 月 5 日 - 2020 年 9 月 6 日 (二天)
講師:Mars Cheng
票價:NTD 33,000 NTD 23,100
課程難易度:普通

現今的物聯網市場發展快速,製造商以相當快速的週期推出各項產品,小如網路攝影機、路由器、智慧家庭、醫療設備及汽車等,大到智慧城市、智慧工廠等。其應用已成為人們生活中不可缺少的一部分,相對其資安威脅也日益增長。本課程將說明物聯網概念與架構、攻擊面向與實戰手法以及該如何從開發時便考慮各種安全性的議題,讓學員可一窺物聯網安全的世界。本課程有相當多的Lab練習,非常適合想要被手把手教學的學員們報名。

1.何謂物聯網(IoT)?
2.OWASP IoT Top 10 2018 剖析
3.物聯網攻擊面向剖析
4.體驗物聯網-MQTT通訊協定模擬
 ●IoT 資訊搜集 (Lab)
 ●MQTT與物聯網 (Lab)
5.物聯網韌體分析與實作
 ●物聯網韌體分析流程
 ●物聯網韌體分析與攻擊實作 (Lab)
6.物聯網惡意程式分析與實作
 ●分析與編譯物聯網惡意程式 (Lab)
 ●建置物聯網殭屍網路 (Lab)
 ●車聯網通訊分析與實作
 ●車聯網攻擊向量剖析
 ●建置車聯網模擬環境 (Lab)
 ●車聯網攻擊實作 (Lab)
7.硬體滲透測試剖析
8.無線射頻滲透測試剖析 (Lab TBD)
9.物聯網安全防護策略

具備基本 Linux 指令操作能力

VMware Player or Workstation、VMware Fusion,課程預計提供 2 套VM(ova),硬碟空間需求 50G 以上,記憶體 8G 以上

類別五:Web Security

Practical Web Hacking and Exploitation

[12 小時] [中文] 
日期:2020 年 9 月 5 日 - 2020 年 9 月 6 日 (二天)
講師:Boik Su
票價:NTD 33,000 NTD 23,100
課程難易度:普通

This course will focus on advanced vulnerability identification and exploitation techniques and allow attendees to get familiar with some tricky but decent ways that were actually used and exploited in the real world. Several hands-on practices demonstrating different possible scenarios will be given while we go through the course. Hence, attendees will gain experience when trying their best to carry out the attack they just learned. There will be some new techniques shown during the course exclusively, which can give attendees insight into the problems of vulnerability.

1. OWASP TOP 10 - 2017 hands-on practices with real-world cases (XSS, SQLi, etc)
2. Neat and novel exploitation techniques in recent conferences (BlackHat, Defcon, etc)
3. Misc talk: CVE proposal, Bug Bounty, etc.

1. Understanding of basic concepts of HTML and JavaScript
2. Know how an HTTP request or response flows
3. Experience in developing any website

學員自備筆電,並準備以下需求:
1. Ubuntu 環境(14、16、18 皆可)
2. 安裝好 Docker, Burp Suite 跟 Firefox ESR 52

Web Exploitations and Evasions

[6 小時] [中文]
日期:2020 年 9 月 7 日 (一天)
講師:Boik Su
票價:NTD 17,000 NTD 11,900
課程難易度:普通

This course will focus on advanced vulnerability identification, exploitation, and evasion techniques which are actually used and exploited in the real world. We'll especially talk about vulnerabilities in .NET and Java frameworks.
Tough hands-on practices will be presented so as to push every audience to the limitation on figuring out the possible ways from the challenges. We'll also try out CodeQL, a static code analysis tool, to model and find general loopholes in .NET and Java frameworks.

1. Understand and practice neat and novel exploitation techniques in recent conferences (BlackHat, Defcon, etc)
2. Real-world CTF & challenges (Bug Bounty & Advisories)
3. CodeQL introduction and practices

1. Understanding of advanced concepts of HTML, JavaScript, and CSS
2. Know how an HTTP request or response flows
3. Not afraid of reading and studying official documents and RFC
4. Experience in developing any website
5. Has a rough idea of static code analysis

學員自備筆電,並準備以下需求:
1. Ubuntu 環境(14、16、18 皆可)
2. 安裝好 Docker, Burp Suite 跟 Firefox ESR 52

類別六:Windows Security

Windows APT Warfare

[12 小時] [中文]
日期:2020 年 9 月 6 日 - 2020 年 9 月 7 日 (二天)
講師:馬聖豪
票價:NTD 33,000 NTD 23,100
課程難易度:簡單

在防毒軟體與漏洞防護技術持續精進的兩面夾殺之下,對於紅隊測試甚至第一線的網軍而言,每年即使爆出一批又一批好用的漏洞成功攻擊拿下了主機控制權,在後滲透測試階段採用了 Metasploit、Ivy、Powershell 等知名手段仍然難以規避資安防護檢測而喪失了控制權。對於駭客,難道面對上了防毒軟體與安全研究人員只能逃嗎?
本課程將盤點近年實用網軍釣魚技術 與 完整 Windows 編譯器技術:包含PE 結構完整操作攻擊/繞過手段解析、Windows Shellcode 開發、程式感染技術 與防毒繞過技巧、UAC 提權細節分析與作業系統服務逆向工程,將在課程中打下扎實的 Windows 系統資安體系知識鏈與結構體基礎、帶學員動手做出一些有趣的研究並理解並精通駭客攻擊技巧。

Day 1
●上午
1. 編譯器原理
2. 作業系統與執行程式裝載器
3. 靜態執行程式蠕蟲開發
4. 簽章偽造

下午
●從靜態到處理程序動態 & WOW64
1. PEB & TEB 花式利用與開發
2. Shellcode 手工開發與撰寫
3. 自動化生產 Shellcode 工具開發

Day 2
上午
●Windows 權限管理架構
1. 執行程式裝載器自造
2. 現代執行程式保護殼開發

下午
●Windows 10 UAC 逆向工程分析
1. 盤點現代 DLL 劫持技巧
2. 分析 UAC 攻擊面與各式利用達成提權

蹂躪驅動保護 - 學習系統攻防

[12 小時] [中文] 
日期:2020 年 9 月 5 日 - 2020 年 9 月 6 日 (二天)
講師:Kenny
票價:NTD 44,000 NTD 30,800
課程難易度:簡單

歷經三年的鋪層,本課程是三部曲系列課程的終章,也是筆者自認的最精彩之作,非常適合有程式基礎,且有心想要學習資安入門,卻又苦於不知該從何著手的學員,課程內容濃縮自講者自身的資安學習經驗,透過詼諧有趣的 Windows 核心攻防實戰 lab,從零開始學習扎實又環環相扣的系統底層知識與解密核心防護軟體的實作秘密,以及品味市面上各種現有產品的優秀設計與難言之隱,若想任意遨遊於 Windows 系統核心,本課程或許是您不錯的起點。

Lesson 1 - Hello , Kernel - 開發環境建置與常見工具
 ●Driver Dev - 正確的起手式
 ●kernel 核心概念與不可不知的 Api
 ●User mode <--> kernel mode 溝通的那座橋

Lesson 2 - 直球對決! 逆向分析 Antivirus (EDR) 與 Bypass
 ●Antivirus (EDR) 常用的監控 & 自我保護方案動態分析
 ●User mode 一鍵 Bypass
   ●不測不知道,一測嚇一跳

Lesson 3 - 拆解 AntiCheat (GameProtect) 實作秘密與 Driver 互動技術
 ●拆解 AntiCheat 功能與 Handle 保護的秘密
 ●Interrupt Request Level (IRQL) 的概念
 ●Kernel mode 一鍵 Bypass

Lesson 4 - 領略各種 kernel 列舉 Object 與核心保護機制
 ●EPROCESS 結構的小秘密
 ●EPROCESS 斷鏈 (Rootkit)
 ●Kernel 保護機制介紹
   ●Patch Guard
   ●Driver Signature Enforcement
 ●kernel 暴力列舉 Object
 ●攔截 Driver 的各種姿勢

Lesson 5 - EDR 監控的核心秘密
 ●探索 SystemCall 的大門
 ●EDR 監控的核心秘密

Lesson 6 - Make Hooking Great Again
 ●Anti All of Hook (user mode)
 ●Reload Windows Kernel , Anti All of Hook (x86)
 ●Bypass PatchGuard Hook SystemCall(x64)

Lesson 7 - 穩定自我保護方案與開發上的陷阱
 ●DKOM - 穩定自我保護方案
   ●Deny Memory Access / Code inject
 ●BSOD 好朋友 - 藍到你不要不要的坑

Lesson 8 - 以虛馭實 * VT
 ●虛擬化技術 虛擬化技術介紹
 ●Hijack Anything You Want

Lesson 9 - 數位簽章的愛與恨
 ●豬隊友的悲劇 - 濫用合法簽章驅動
 ●GhostDriver - 現代化 Rootkit 的玩法

End
 ●個人經驗總結與未來提升能力的心得分享

Red Team Exercises for Active Directory (AD)

[6 小時] [中文]
日期:2020 年 9 月 9 日 (一天)
講師:Mars Cheng、Dexter Chen
票價:NTD 17,000 NTD 11,900
課程難易度:普通

企業在管理是廣泛使用網域(Active Directory, AD)作為其企業網路管理的骨幹。不論是在使用者、電腦軟體使用及權限控管上,網域(AD)都能夠給予企業相當有效的幫助。然而隨著網域(AD)提供越來越豐富與多樣的功能,其安全性的議題也逐漸浮出檯面,諸多的攻擊者開始針對網域(AD)進行一系列的研究。但不幸的是,也因為網域(AD)的豐富性,往往容易造成管理者在組態設置上容易有錯誤設置等因素而導致攻擊者可以成功對網域 (AD) 進行攻擊。因此本課程將會深入淺出的針對 AD 理論與攻擊技術進行深入剖析,並提供相對應的防禦策略確保網域(AD)環境處於一個受保護的狀態之下。本課程中的理論與實作(提供超過 10 個實作練習)並重,確保學員是在真的理解概念下才施作攻擊,藉此才能夠達到真實有效的防禦策略。

1. 網域(Active Directory, AD)背景知識剖析
 ●網域(AD)簡介
 ●MITRE ATT&CK 映射網域(AD)
 ●網域(AD)的資安威脅
 ●環境與課程工具簡介

2.網域(AD)的紅隊實戰演練:我們的實作演練會針對 ATT&CK 進行映射,並提供 10 個以上的觀念講解與實作練習,其內容涵括 Kerberoasting、Pass the Hash/Pass the Ticket、ACLs Abuse、Delegation 等因組態設定因素而導致的資安問題。
 ●Initial Access (Lab)
 ●Execution (Lab)
 ●Persistence (Lab)
 ●Privilege Escalation (Lab)
 ●Defense Evasion (Lab)
 ●Credential Access (Lab)
 ●Discovery (Lab)
 ●Lateral Movement (Lab)
3. 網域(AD)的安全防護策略

具備基本 Windows 操作能力即可

VMware Player or Workstation、VMware Fusion,課程預計提供 3 套VM ,硬碟空間需求 60G 以上,記憶體 8G 以上

類別七:Machine Learning

Reversing In the Wonderland

[6 小時] [中文] 
日期:2020 年 9 月 5 日(一天)
講師:馬聖豪
票價:NTD 17,000 NTD 11,900
課程難易度:簡單

對於逆向工程專家而言,破解程式是一種經驗累積且難以言喻的人工分析技術。然而在無論是惡意程式變種劇增或者編譯器優化升級情況下,進行人工分析成為了相當昂貴的成本。

本堂課將從基礎的仿生神經網路說起,講起如何以自幹出一個具有學習能力的單層神經網路。接著講起編譯器與作業系統原理,並引入 NLP(Natural Language Processing)的分析技術,搭建出模型用以自動化建模機械碼潛在語義,並能夠比對並分區分出 Virus Total 惡意程式與其變種。

上午
1. 編譯器原理與裝載器
2. 撰寫 ELF 靜態 Parser
3. 以 numpy 手工神經網路與微分求導
4. 仿生學習手寫辨識

下午
1. NLP: 計數手法與推斷型手法
2. 共生矩陣、相似度與奇異分解降維
3. Tokenize 與自幹 Word2Vec 模型
4. 將機械碼向量化投影分析相似度
5. 對惡意程式機械碼建模與相似度分析

類別八:Incident Response

macOS Threat Hunting: Incident Response and Forensic Analysis

[18 小時] [中文] 
日期:2020 年 9 月 5 日 - 2020 年 9 月 7 日 (三天)
講師:cp
票價:NTD 55,000 NTD 38,500
課程難易度:簡單

Malwarebytes 統計揭露, 2019 年每台 mac 平均含有惡意軟體數量已首度超過 Windows。當 mac 的安全性受到挑戰,具備 macOS 事件調查與威脅狩獵的技能,將有效增進企業資安防禦能力。

本課程適合想學習 macOS 資安入門或想培養事件調查能力者,將從基礎 macOS 系統運作出發,探索系統內部各式機制,透過鑑識分析與惡意程式分析的方法,學習 macOS 平台事件調查,最終結論出威脅狩獵的建議流程。

課程內提供 IR 模擬情境,幫助學員從實際操作中學習事件調查與威脅狩獵。

1. macOS Introduction
 ●User Experience
 ●Darwin & XNU
 ●macOS Architecture

2. macOS Security (Lab 1)
 ●Code Signing
 ●Gatekeeper
 ●MACF
 ●Sandboxing

3. Exeuctable & Malware (Lab 2)
 ●Mach-O Exeuctable
 ●Malware
   ●APT Malware of 2019
   ●Behavior
   ●Persistence
 ●YARA

4. Forensic Analysis (Lab 3/4)
 ●Systeminfos
 ●Users / Social Accounts
 ●Apps
   ●Browsers
   ●iMessage
   ●Mail
   ●Notes
 ●Cloud Services
   ●iCloud
   ●Google Driver
   ●Dropbox
 ●Execution History
 ●Auto Execution
 ●Usage Statistics
 ●Application List
 ●WIFI
 ●Bluetooth
 ●Logs
   ●Unified Logs
   ●Syslog

5. Forensic Analysis (Lab 3/4)
 ●Process
 ●SIP
 ●C&C Detection
 ●Behavior Analysis
 ●EndpointSecurity
 ●Tools
   ●Process Monitor
   ●File Monitor

6.Threat Hunting (Lab 6)
 ●Endpoints Threat Hunting
 ●Statistical Analysis
   ●File Statistics
   ●Process Statistics
   ●Networking Statistics

Windows 內網攻防原理及實務

[18 小時] [中文] 
日期:2020 年 9 月 5 日 - 2020 年 9 月 7 日 (三天)
講師:zha0
票價:NTD 55,000 NTD 38,500
課程難易度:普通

Windows 內網攻防原理及實務

長期專注於APT惡意程式分析,族群分析需要長時間的累積,總是擔認後勤支援,卻也忽略前線手法及故事完整性,藉由此機會分享近期學習心得,並在教授過程中體會到,並不是將自身的經歷在短時間灌輸給學習者,他們就必然都學會,因此架設 Lab 環境讓學習者重練習慣,及從實作中加深記憶及體會。

●解說 SMB 及 Kerberos 協議,從 WireShark 封包中分析。
●傳輸過程中的加解密演算法。
●從原理到實際攻擊手法 (PTH, OPH, Kerberoasting 等等)。
●分析為何 DC 被入侵過後,難以根除。

有語言基礎,能讀懂程式語言(例如:Python、C#、C等等)

From Threat Hunting Newbie to Advanced

[12 小時] [中文] 
日期:2020 年 9 月 8 日 - 2020 年 9 月 9 日 (二天)
講師:John Jiang, Dange Lin
票價:NTD 22,000 NTD 15,400
課程難易度:簡單

許多單位都開始著手建置自己的資安團隊,隨著資安管理知識持續進化,業界也逐漸認知到做到完全安全的系統是幾乎不可能的,而是必須強化自身的資安韌性 (Cyber Resilience)。這也是資安韌性中其中重要的環節,企業需要具備足夠的事件調查的能力甚至進階的去威脅獵捕主動挖掘潛在與環境中的攻擊者或是找到可疑的行為,避免危害進一步的擴大。

這門課程難度會由淺入深,實作開始前會先從策略面與框架介紹讓學員了解藍隊在處理事件的生命週期與整體概觀。實作課程將會由三個角度切入:攻擊者、調查員與工具開發者。

課程會帶著學員模擬攻擊者操作攻擊並且觀察,去試著了解攻擊者可能會在系統中留下怎麼樣的足跡。接著以調查員的角度去探索總總線索,將整體的案情勾勒出來。然而純手工做日誌分析將會是一個非常容易疲勞的工作,時常會漏掉重要的線索,透過自動化工具與圖學 (Graph-based) 的方式來加速調查的效率也是佈建藍隊的重要環節,我們將會在調查的過程中,同時扮演工具開發者的角色,將調查中發現的不足轉換為開發的需求,打造自己的調查工具。最後將會讓學員了解如何從事件中檢討與學習,完整走完藍隊處理事件的生命週期。

1.藍隊策略與紅隊常見攻擊介紹
2.Windows 基礎鑑識知識
 ●Basic Forensic
 ●System Forensic
 ●Disk Forensic
 ●Memory Forensic

3. 基礎日誌分析
 ●基礎分析
 ●利用 ELK 做分析

4. 進階事件調查
 ●打造自己的調查工具
 ●LAB - APT 攻擊案例調查

5. 事件調查後要做的事情
 ●事件調查報告撰寫&導讀
 ●Lessons Learned
 ●Mitigation/Detection

基礎程式設計經驗
Windows OS 基礎操作

類別九:Malware Analysis

Fundamental of Linux Malware Analysis with Open Source Tools and Techniques

[12 小時] [中文] 
日期:2020 年 9 月 8 日 - 2020 年 9 月 9 日 (二天)
講師:IokJin Sih, KunYu Chen, JunWei Song
票價:NTD 33,000 NTD 23,100
課程難易度:Day 1:簡單、Day 2:普通

Nowadays, many devices are running Unix-like systems inside. This has come with a rising trend of security threats. However, we can see just a few courses or textbooks addressing this issue.

With this in mind, our training course focuses on ELF format binary analysis of Linux operating systems. Different from other training courses, we highlight four unique ideas of delivering the course.

It’s a practical-oriented course. At the end of the class, trainees will know how to construct an immediate response analysis report with the combo tricks we provide.

All ELF examples and exercises are attentively designed and are easy-to-understand.

We developed an interlocking system of the analysis tool sets.

All tools used in this course are open sourced, carefully selected and are wrapped into a customized Linux container.

We’ve found out gaps in other binary analysis course materials. They mainly focus on showing ways to extract information in the binary but they did not highlight the limitations of each tool they use and what other tools can be used to overcome the limitations. We see the problem, and we try to connect tools with their limitations and complementarity.

Further, with decades of experiences in Linux administration and malware analysis. We design and build a customized Linux container for the trainee. Every tool we use is open sourced and freely to use. Trainees don’t need to worry about the high license fee. Most importantly, these tools are carefully selected. Borrowing from the idea of drug repurposing, we made the old dog (at least 7 tools) play new tricks.

In this course, we cover the basics of both static and dynamic analysis of ELF executables. We connect the analysis techniques, tools in a unique sequence. Following our structured methods, trainees will recognize what information is needed and how these information can be organized as an immediate response analysis report.

This training course consists of the following areas:

1. Introduction to the Linux Malware
2. Setup the isolated analysis environment
3. Introduction to Malware Analysis Report
4. First Steps for Linux Malware
5. Dynamic analysis – Monitor system activities
6. Static analysis – Disassemble executable file
7. Writing the analysis report
8. Simulating Internet Services in the Linux Environment
9. Dynamic analysis - Debugging the Linux executables
10. Static Analysis – Gather information with Linux command

Who this course is for:

1. Anyone is strongly curious about how Linux malware works.
2. Anyone wishing to figure out the methodology and tool sets that are required in Linux malware analysis.

Day 1

Module 1:Introduction to the Linux Malware
 ●What’s malware ?
 ●What’s Linux malware ?
 ●Purpose of Linux malware
 ●Static and Dynamic Analysis
 ●CPU Architecture

Module 2:Setup the isolated analysis environment
 ●Install Oracle VM VirtualBox
 ●Import OVA File
 ●Launch the VM at the first time
 ●Create Snapshot

Module 3:Malware Analysis Report
 ●Type of Malware Analysis Report
 ●Components of First Response Report
 ●Components of Deep Dive Analysis Report

Module 4:First Steps for Linux Malware
 ●Introduction to Terminal
 ●Calculate hashes and Virustotal.com
 ●List printable characters from executable
 ●Run and Observe the malware
 ●Packet sniffer tool

Module 5:Dynamic analysis – Monitor system activities
 ●Monitor system activities with strace
 ●Monitor FILE I/O with strace
 ●Monitor Process Management with strace
 ●Monitor Network I/O with strace

Module 6:Static analysis – Disassemble executable file
 ●What is Reverse Engineering
 ●The Idea of Disassemble
 ●Introduction to Reverse Engineering software - Cutter
 ●Cutter interface and functions
 ●Two Examples of designed sample malware

Day 2

Module 7: Writing the analysis report
 ●Recap to components of first response report
 ●Examine the sample malware with the previous course materials
 ●Demonstrate writing a sample analysis report

Module 8:Simulating Internet Services in the Linux Environment
 ●Simulate well-known Internet Services
 ●Redirect the outgoing network traffic
 ●est the simulating services

Module 9:Dynamic analysis - Debugging the Linux executables
 ●Introduction to Debugging
 ●Binary Debugger - Radare2
 ●Radare2 interface and functions
 ●Radare2 helpful commands
 ●Two Examples of designed sample malware

Module 10:Static Analysis – Gather information with Linux command
 ●Determine File type
 ●Linux ELF format
 ●Important ELF Sections
 ●Symbol table

You should be familiar with computers and Linux operating systems.
You should have experiences using plenty of Linux commands in the terminal.

類別十:Kubernetes Security

Kubernetes 攻防

[6 小時] [中文] 
日期:2020 年 9 月 9 日(一天)
講師:YSc
票價:NTD 17,000 NTD 11,900
課程難易度:普通

你知道 Kubernetes 有什麼安全注意事項嗎?你知道駭客如何從看似無用的弱點、配置缺陷下手,最後導致整個 Kubernetes Cluster 都被打下嗎?
經過這堂課,你將會了解:
 ●駭客是用什麼方式在攻擊 Kubernetes
 ●我們該怎麼使用手上的牌組進行防禦

課程會先跟大家熟悉和使用 Kubernetes,並且介紹更多 Kubernetes 的系統架構。
接著我們將實際以駭客角度體驗攻擊手法,並且搭配威脅分析的方式,了解 Kubernetes 潛在威脅。
最後,我們將攻擊轉換為防禦能量,了解防禦思路、搭配 Kubernetes 資安工具和資源,來提升我們的防禦機制。

 ●Kubernetes 使用方法以及資安功能介紹
 ●Lab: 來試試 Kubernetes
 ●Kubernetes 進階架構分析
 ●Kubernetes 攻擊思路(會先介紹必備的攻擊知識)
 ●Lab: 攻擊體驗:從外網到 Kubernetes Admin
 ●防禦思路、Kubernetes 資安工具介紹
 ●Lab: 資安功能與工具使用

Linux、Git、Python、Docker
其他建議項目(非必要):雲端服務(AWS 或 GCP 等)、Kubernetes

Linux 或 Mac OSX 環境、預先裝好 Docker、Git、Python
其他建議項目(非必要):可先在本機架設 minikube、使用雲端平台 Kubernetes、或啟動 Docker for Mac/Windows 內建 Kubernetes