Enterprise Intrusion Analysis Training  

Modul 1 - Profilerstellung (Footprinting) von Unternehmen

• Beschreiben der Prinzipien Least Privilege und Offenlegung.
• Beschreiben, wie Angreifer unter Verwendung von Portscans, DNS und ICMP aktives Fingerprinting einsetzen.
• Beschreiben, wie Angreifer unter Verwendung von Suchmaschinen passives Fingerprinting einsetzen.
• Beschreiben, wie Angreifer durch Sammeln von Bannernachrichen und Protokollinformationen Services erfassen.
• Beschreiben, wie Angreifer mithilfe von Methoden des Social Engineerings Informationen über ein Unternehmen sammeln.

Modul 2 - Unberechtigter Systemzugriff

• Beschreiben, wie Angreifer unberechtigten Zugriff über Benutzerkonten erlangen.
• Beschreiben, wie Angreifer unberechtigten Zugriff über Softwarefehler erlangen.
• Erläutern der von Angreifern verwendeten Methoden zum Aufspüren anfälliger Services des Unternehmens und zum Erzeugen von Exploits für die Schwachstellen.
• Beschreiben eines Pufferüberlaufs (Buffer Overflow).
• Beschreiben der Eskalation von Privilegien (privilege escalation).
• Beschreiben eines Trojaners als Mittel zur Eskalation von Privilegien.

Modul 3 - Absichern des root-Zugriffs

• Beschreiben, wie Angreifer den root-Zugriff durch Hintertüren (Backdoor) auf einem System absichern.
• Beschreiben der folgenden Hintertüren: SUID-Shell, gebundene Shell (bound shell) und vertrauenswürdige Hosts.
• Beschreiben eines Dateisystem-Rootkits.
• Demonstrieren, wie ein Dateisystem-Rootkit Dateien, Prozesse und Verbindungen versteckt.
• Beschreiben eines Kernel-Rootkits.
• Demonstrieren, wie ein Kernel-Rootkit alle Systemaktivitäten erfasst.

Modul 4 - Verschlüsseln und Verstecken von Daten auf einem System

• Überblick der Verschlüsselungstechnologien
• Beschreiben, wie Angreifer mithilfe von Kryptografie Dateien verschlüsseln.
• Demonstrieren von Verschlüsselung unter Verwendung von GnuPGP und OpenSSL.
• Beschreiben der digitalen Steganografie.
• Demonstrieren, wie Angreifer Dateien mithilfe von digitaler Steganografie in Dateien verstecken.
• Beschreiben, wie Angreifer Daten in unerwarteten Bereichen des Dateisystems verstecken.
• Demonstrieren, wie Angreifer eine Datei in Dateisystem-Metadaten verstecken.
• Demonstrieren, wie Angreifer das Schleifendateisystem und erweiterte Attribute zum Verstecken von Daten verwenden.

Modul 5 - Analyse von Unternehmensprotokollen

• Identifizieren der unterschiedlichen Typen von Unternehmens-Services wie DNS, DHCP, SMTP, HTTP und Firewalls.
• Identifizieren der verfügbaren Protokolldateien für Unternehmens-Services.
• Beschreiben der relevanten Angriffsinformationen (intrusion) in der jeweiligen Protokolldatei.
• Untersuchen der Unternehmensprotokolldateien, um verdächtige Aktivitäten aufzufinden.
• Inbeziehungsetzen von Information aus mehreren Protokolldateien zum Ermitteln eines Angriffs.

Modul 6 - Analyse von Angriffen durch unberechtigten Systemzugriff

• Identifizieren der Systemzugriff-Standardprotokolldateien in der Verzeichnisstruktur /var.
• Identifizieren optionaler BSM (Basic Security Module)- und Systemkonto-Protokolldateien.
• Beschreiben von Protokolldateiformaten und verfügbaren Tools zum Lesen dieser Formate.
• Beschreiben der relevanten Informationen in der jeweiligen Protokolldatei.
• Inbeziehungsetzen von Information aus mehreren Protokolldateien zum Ermitteln unberechtigter Systemzugriffe.
• Demonstrieren, wie Angreifer Protokolldateien verändern, um ihre Anwesenheit auf einem System zu verschleiern.

Modul 7 - Analyse von Dateisystemangriffen

• Definieren der Vertrauenswürdigkeit von Systemen und Dienstprogrammen.
• Auffinden von Hintertüren auf einem UNIX-System: alternative root-Konten, gebundene Shells (bound shell), SUID-Shells, vertrauenswürdige Hosts-Dateien.
• Auffinden von Dateisystem-Rootkits auf einem UNIX-System.
• Entdecken versteckter Verzeichnisse, ausgetauschter Systembefehle, entfernter Befehlsdienstprogramme und Netzwerk-Sniffer.
• Beschreiben automatisierter Dateisystem-Analysetools.
• Implementieren von rkhunter, chkrootkit und der Solaris-Fingerabdruckdatenbank zum Auffinden von Rootkits.

Modul 8 - Analyse von Systemspeicher

• Beschreiben der wichtigen Typen von Angriffsdaten, die sich im Speicher befinden.
• Beschreiben von Methoden zum Erfassen flüchtiger Speicherdaten in einem Dateisystem.
• Einführung in die Speicheranalysetools mdb und gdb.
• Demonstrieren, wie Daten mithilfe der Tools mdb und gdb aus dem Speicher wiederhergestellt werden.

Modul 9 - Methoden für die Vorfallsuntersuchung

• Identifizieren verschiedener Typen von Angriffsszenarien.
• Anwenden einer Methodik auf Grundlage eines Angriffsszenarios.
• Sammeln geeigneter Daten (Protokolldateien, Dateisysteme und Speicherabbilder) auf Grundlage des Angriffsszenarios.