A CECyber acredita que o treinamento prático seja pré-requisito para um time de defesa cibernética. Por isso, desenvolvemos as Lab Sessions, sessões práticas exclusivas no Cyberbit Range, onde o profissional é confrontado com situações reais de ataques cibernéticos e irá trabalhar em todo o processo de identificação, contenção e mitigação do incidente.
Na Lab Session, o aluno não precisa adquirir um curso completo ou executar uma série de cenários de uma única vez. Ele opta por um dos cenários disponíveis em nossa plataforma e realiza o treinamento em um único dia.
Pensada para profissionais que buscam a experiência prática tão necessária para atuar de forma decisiva junto ao time, mas não dispõem de tempo para um curso mais longo, as Lab Sessions conferem ao aluno conhecimento aprofundado em cenários específicos de ataques cibernéticos.
Se interessou? Então venha conhecer todos os nossos cursos práticos utilizando o Cyberbit Range!
Neste cenário, o atacante envia uma série de
consultas DNS com endereços IP do alvo mascarados
para servidores DNS vulneráveis. O grande número
de respostas DNS é enviado de volta para o sistema
hackeado, sobrecarregando a largura de banda e os
recursos do alvo, paralisando o servidor e causando a
negação de serviço (DoS).
Neste cenário, o atacante envia um e-mail infectado com um link para baixar e abrir um software malicioso. Quando a vítima clica no link, um Trojan é instalado. O Trojan executa uma pesquisa local, buscando por arquivos importantes e os envia ao atacante por e-mail, realizando um vazamento de dados corporativos sensíveis.
Nesse cenário, um desenvolvedor recebe um e-mail contendo um link para atualizar seu software de cronometragem de RH. Quando esse software é executado, no entanto, o sistema do usuário é infectado por um trojan. O trojan então passa a se espalhar pela rede, capturando imagens de todas as máquinas infectadas. As máquinas infectadas incluem o computador do usuário, bem como o banco de dados da empresa, que está vinculado a um servidor web externo. Essas capturas de tela são armazenadas no servidor web da empresa para serem baixadas por um invasor remoto por meio de um shell da web que foi implantado no servidor.
Nesse cenário, o sistema conecta um CD-ROM infectado por um cavalo de Tróia a uma máquina que executa o Windows, a execução automática carrega o malware. O Trojan verifica a rede e procura por arquivos secretos. Ele também coleta senhas e despejos do Active Directory. Os dados confidenciais são enviados ao servidor de comando e controle (C&C) do invasor. Para se espalhar, o Trojan cria um PDF infectado e se espalha na rede por e-mail. Para manter o acesso à rede, o Trojan instala um backdoor em uma máquina adjacente em sua sub-rede.
Nesse cenário, um CD-ROM que está infectado por um cavalo de troia é inserido em uma máquina Windows. A partir daí, o CD-ROM é auto executado e carrega o malware. O trojan varre a rede e procura arquivos secretos. Além disso, ele também coleta senhas e despejos do Active Directory. Para se espalhar, o trojan cria um documento PDF infectado e o dissemina na rede via e-mail. Por outro lado, para manter o acesso à rede, o trojan instala um backdoor em uma máquina adjacente em sua sub rede. Os dados confidenciais coletados pelo trojan são enviados para o servidor de comando e controle (C&C) do invasor.
Neste cenário, o atacante engana os hosts, passando-se por um proxy legítimo no segmento. Uma vez que todo o tráfego do segmento do usuário passa pelo invasor, dados sensíveis são extraídos e removidos para o servidor de Comando e Controle do atacante, localizado na Internet, utilizando dois diferentes métodos – Pacotes ICMP e consultas DNS.
Nesse cenário, o invasor envia um e-mail infectado para Win7 com um arquivo Excel anexado. O arquivo contém um comando do PowerShell que baixa um payload de um servidor da Internet e é executado. Esse payload se conecta de volta aos comandos do invasor. O invasor usa a ferramenta PsExec para se movimentar para o segundo host na máquina e cria um shell interativo no computador do usuário que executa o segmento do invasor. O invasor se conecta ao servidor de e-mail central, cria um arquivo TAR de e-mails confidenciais em todas as contas de e-mail para exfiltração. Para obter persistência, o invasor cria uma tarefa agendada no Win7. O Trainee fica sabendo de uma possível violação quando e-mails confidenciais vazam para a mídia social.
Neste cenário, o sistema carrega um site malicioso que contém um trojan horse (cavalo de tróia). Quando um usuário desatento navega pelo site e executa o Trojan oculto, ele o conecta a um servidor SendMail via SSH e adiciona uma regra que encaminha as mensagens de todas as caixas de e-mail para o correio do atacante.
Neste cenário, o atacante engana os hosts, passando-se por um proxy legítimo no segmento. Uma vez que todo o tráfego do segmento do usuário passa pelo invasor,dados sensíveis são extraídos e removidos para o servidor de Comando e Controle do atacante, localizado na Internet, utilizando dois diferentes métodos – Pacotes ICMP e consultas DNS.
Neste cenário, o sistema emula um ataque explorando uma vulnerabilidade conhecida no servidor FTP, habilitando uma conexão SQL direta com o servidor de banco de dados. Uma vez que isso acontece, o sistema utiliza força bruta para obter acesso ao servidor SQL e extrair os dados corporativos utilizando a enumeração de tabela.
Neste cenário, o trainee é solicitado a investigar uma estação do Windows 7 que está infectada com 2 malwares diferentes, baseados em “WMIGhost e” Kovter “. O trainee deve investigar as técnicas de persistência utilizadas pelos malwares usando as ferramentas já instaladas na estação infectada
Nesse cenário, um invasor usa técnicas sem arquivo (ou sem malware) para obter acesso ao site de uma empresa por meio do computador de um usuário. Usando essas técnicas, o invasor implanta um arquivo HTML malicioso no servidor IIS de destino, que propaga o ataque para os clientes da empresa.
Nesse cenário, um invasor envia um e-mail de Spear-Phishing a um funcionário da organização visada contendo um documento do Word. Depois que um funcionário inocente abre o documento, ele executa uma macro oculta no documento, que abre um backdoor para que o invasor baixe um arquivo de imagem do servidor de ataque. A macro extrai um payload que é codificada dentro do arquivo de imagem e executa o código. O código malicioso é um malware, que procura por extensões de arquivo específicas em qualquer unidade de compartilhamento disponível no computador da vítima, a fim de exfiltrar o código-fonte para um segundo endereço IP pertencente ao invasor. O Trainee deve investigar um alerta no SIEM para “tráfego de rede suspeito” e encontrar qualquer evidência relacionada ao ataque que eventualmente levará à decodificação do payload e à mitigação do ataque.
Av. Marquês de São Vicente, 576, 7º andar - Várzea da Barra Funda - São Paulo/SP - CEP 01139-000
