Fortgeschrittenes Ethical Hacking – Deep Dive ins Pentesting für Admins

• Sie vertiefen Ihre Kenntnisse aus dem Classroom Ethical Hacking für Admins – Pentesting für eine sichere IT

• Sie wissen wie man einfach Schadsoftware erstellt und kennen das Command-and-Control-Framework Metasploit sowie weitere spezialisierte Tools

• Sie auditieren Linux-Systeme auf Schwachstellen und finden in Windows-Umgebungen Angriffspfade mit Graphenanalyse und BloodHound

Inhalt

In diesem Classroom steigen Administratoren und andere Interessierte tief ins Thema Ethical Hacking ein. Sie erfahren, wie Angreifer einen Angriff planen und praktisch durchführen, beginnend bei der Informationsbeschaffung (Open Source Intelligence, OSINT) und dem initialen Zugriffs, die unser Experte tiefergehend behandelt.

Sie verstehen, welche Vorgehensweisen und Werkzeuge Angreifer verwenden. Mit diesem Wissen, nutzen Sie Angreifer-Tools und spezialisierte Audit-Werkzeugen für Verteidiger, um Sicherheitslücken in Ihren Umgebungen zu finden. Dadurch verstehen Sie, wie Angreifer diese ausnutzen. Dabei lernen Sie auch den Umgang mit Metasploit sowie weiteren Command-and-Control-Frameworks kennen.

Unser Experte widmet sich im Rahmen des Classrooms allen relevanten Umgebungen, über die potenzielle Angreifer Zugriff auf Ihre Systeme erhalten können. Das betrifft sowohl externe Umgebungen und die eigene öffentliche IT-Infrastruktur als auch interne Netzwerke mit Fokus auf Active Directory (AD). Aber auch Webanwendungen und Web-Schnittstellen (APIs) stellen potenzielle Einfallstore für Angreifer dar. Abschließend stehen die öffentlichen Clouds im Fokus, mit Schwerpunkt auf der Microsoft-Cloud (Entra ID, Microsoft 365) sowie Amazon Web Services (AWS).

Für die Themen Einzelsysteme, AD, Webanwendung und Clouds zeigt unser Experte zudem, in welcher absichtlich verwundbaren Umgebung Sie kostenfrei oder preiswert hacken und sich weiterbilden können – auch weit über diesen Classroom hinaus. Sie lernen das Ausnutzen von Schwachstellen, Erlangen weiterer Privilegien und Erreichen eines Ziels (etwa Ransomware im gesamten Netzwerk auszurollen).

Zielgruppe

Administratoren und IT-Sicherheitsverantwortliche, die durch fortgeschrittenes Ethical Hacking, bei dem Lücken ausgenutzt werden, die Sicherheit ihrer Umgebungen (On-Premises, Web, Public Clouds) erhöhen wollen.

Voraussetzungen

Grundsätzliches Verständnis von Ethical Hacking und IT-Security-Selbstaudits sind erforderlich – beispielsweise durch vorigen Besuch des Classrooms Ethical Hacking für Admins – Pentesting für eine sichere IT.

Wissen auf dem Level eines Junior-System- oder Netzwerk-Administrators wird vorausgesetzt. Das umfasst auch Erfahrungen auf der Linux-Kommandozeile und mit PowerShell unter Windows. Ein Verständnis des Aufbaus von Webanwendungen und Protokollen wie HTTP und HTML ist erforderlich. Erfahrungen in der Administration einer öffentlichen Cloud sind für die entsprechende Session wünschenswert.

Agenda

• Unsicher gespeicherte und verwundbare Passwörter mit Cracking-Werkzeugen wie Hashcat brechen und Attacker-in-the-Middle-Angriffe (AitM)

• Wie Metasploit verschiedene Angriffsschritte erleichtert – und wie einfach man mit diesem weit verbreiteten Command-and-Control-Framework Schadsoftware für unterschiedliche Arten von Shells (Reverse und Bind Shells) erstellt, sowie die Vorstellung und Erklärung von anderen C2-Frameworks

• Fortgeschrittene Angriffe auf das Active Directory und wie Sie Angriffspfade mit BloodHound und dem zugehörigen Ökosystem aus hilfreichen Erweiterungen finden

• Teilautomatisierte Audits von Linux-Clients und -Servern auf Schwachstellen zur Privilegieneskalation und zur fehlenden Härtung

• Vertiefung von Schwachstellen in Webanwendungen und Ausnutzen von Schwachstellen wie SQL Injections

• Durchführen von konkreten Angriffen auf die Microsoft-Cloud, besonders Microsoft 365 und Entra ID, mit spezialisierten Angriffswerkzeugen und jeweilige Gegenmaßnahmen

• Wie bleibt man in der Informationssicherheit effizient auf dem Laufenden? Hinweise auf lohnende Websites, Newsletter, Podcasts und YouTube-Kanäle