archive
/
PurpleDome
mirror of https://github.com/avast/PurpleDome
1
0
Fork 0
Code Issues Packages Projects Releases Wiki Activity
You cannot select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.
develop
polishing2
presentation_gpn_2022
more_unit_tests
extending_page
main
caldera_4
Branches Tags
${ item.name }
Create tag ${ searchTerm }
Create branch ${ searchTerm }
from 'develop'
${ noResults }
PurpleDome/presentations/intro_de/index.rst

125 lines
2.8 KiB
ReStructuredText
Raw Permalink Blame History

================
PurpleDome intro
================
.. This toctree is only to link examples.
.. toctree::
:glob:
:hidden:
Was ist das Problem
===================
Komplexe Malware greift in mehreren Schritten an. Die letzten können ohne Malware Dateien auskommen.
Betrifft es mich ?
------------------
* Wenn man ein Unternehmens Netzwerk unterhält: Ja
* Nach einer ersten Infektion und automatischer Systemübersicht kann ein Malware Operator dazugerufen werden
.. Ab dem Schritt ist es dann file less
Schützt mich AV ?
=================
Moderne AV Software hat nicht nur Dateierkennung, sondern auch Verhaltenserkennung
Manchmal ist die beworben. Aber eine Minimalvariante sollte eigentlich immer dabei sein.
Das wäre verantwortlich für den AV Schutz
Funktioniert das gut ?
----------------------
Die Verhaltens-Komponente ist recht komplex zu entwickeln
* Verschiedene OS Versionen
* Performance
* Stabilität
* Sehr viele verschiedenen Verhalten denkbar
Ist das blöd, wenn file-less zunimmt ?
--------------------------------------
* Mit Dateien zu hantieren ist einfacher
* QA und Development ist ohne Malware Dateien komplizierter
PurpleDome macht File-less Angriff handhabbarer
===============================================
Wir brauchen das...
* Zum Entwickeln der Sensoren
* Zum Entwickeln der Logik
* Zum Testen der Sensoren
Purple Dome: Wie funktioniert es ?
==================================
Purple Dome ist eine vollautomatisierte Simulations Umgebung, in der man die File-less Angriffe nachvollziehen kann.
Aufsetzen der Ziele
-------------------
Virtuelle Maschinen mit dem Ziel OS werden aufgesetzt. So können wir unsere Sensoren mit verschiedenen OS Versionen testen.
Aufsetzen des Angreifers
------------------------
Aktuell nutzen wir Kali Linux. Dort haben wir:
* Metasploit
* Caldera
* Command line tools (nmap...)
Aufsetzen der Sensoren
----------------------
Sensoren werden automatisch auf den Zielen installiert. Ab jetzt wird aufgezeichnet
Durchführen der Angriffe
------------------------
Welche Angriffe durchgeführt werden bestimmt das Skript
Sammeln der Sensor Daten
------------------------
Daten aller Sensoren werden gesammelt. Zusammen mit einem Log der Angriffe.
Erstellen einer Beschreibung
----------------------------
Zur einfachen Übersicht wird ein lesbares Dokument des Angriffs als PDF erstellt
Wem bringt PurpleDome sonst noch was ?
======================================
Schulungen
----------
Wir planen Schulungsprogramme basierend auf PD. Wird gerade evaluiert von einer Hochschule
Trainings
---------
Blue vs Red Team trainings und erzeugen von Übungsdaten
CTF
---
Capture the Flags können auf PurpleDome basieren
Wo kann ich PurpleDome kaufen ?
===============================
Gar nicht. Ist kostenlos und Open Source
https://github.com/avast/PurpleDome
Reference in New Issue View Git Blame Copy Permalink