Formation Red Team Ops (RTO)

Formation Red Team Ops (RTO) 

Cadre opérationnel et méthodologie Red Team

• Différences Red Team vs Pentest et place de la Purple Team
• Cadres MITRE ATT&CK, Kill Chain, Adversary Emulation
• Définir objectifs de mission, ROE et périmètre (scope)
• Gouvernance : éthique, légalité, gestion des risques et assurance
• Outils de planification : threat profiles, OPSEC et journaux d’activité
• atelier : montage d’un plan d’engagement complet

Renseignement et accès initial

• OSINT structuré : personnes, infrastructures, empreintes techniques
• Phishing ciblé, malvertising, watering hole, USB drop (simulation)
• Exploitation externe : vulnérabilités, credentials stuffing, MFA fatigue
• Préparation payloads et règles OPSEC (profil réseau, heures, bruit)
• Mesures de détection attendues côté défense (hypothèses adverses)
• atelier : campagne de phishing spearfish avec indicateurs

Command & Control et persistance

• Choisir un C2 (ex. Cobalt Strike, Sliver) et topologies de redirectors
• Malleable C2 / profils réseau, sleep/jitter, User-Agent & DNS
• Persistance : tâches planifiées, services, WMI, registry, LNK
• OPSEC du C2 : Traffic Shaping, domaines, certificats, logs minimaux
• Évasion basique : AMSI, ETW, AppLocker, exclusions EDR
• atelier : déploiement d’un implant et établissement d’un canal C2

Post-exploitation initiale et élévation de privilèges

• Collecte artéfacts : tokens, credentials, cookies, fichiers sensibles
• UAC bypass, privilèges locaux, LSASS (déontologie & safe-guards)
• Techniques Kerberos (AS-REP roast, kerberoasting) et DPAPI
• Persistance renforcée : scheduled tasks, WMI Event Subscriptions
• Hygiène OPSEC : nettoyage, living-off-the-land (LOLBAS)
• atelier : escalade de privilèges locale contrôlée

Active Directory : cartographie et chemins d’attaque

• Énumération AD et graphes d’accès (ex. BloodHound)
• Abus de ACL/ACE, shadow admins, comptes kerberoastables
• Délégations : Unconstrained/Constrained/RBCD
• Commodités de mouvement : WinRM, SMB, PsExec, WMI
• Préparation OPSEC : taux de requêtes, caches, empreinte réseau
• atelier : exploitation d’un chemin d’attaque identifié

Mouvement latéral contrôlé

• Token impersonation, Pass-the-Hash/Ticket, S4U2Self/Proxy
• Techniques RDP/SMB/SSH et pivoting via socks/proxychains
• Evasion pendant le latéral : process injection, in-memory
• Renforcer la persistance multi-nœuds et points de repli
• Indicateurs défensifs (honey tokens, canaries, traps)
• atelier : scénario de mouvement latéral jusqu’à un compte sensible

Opérations avancées sur Kerberos & Domain Attack

• Silver/Golden Tickets, hygiène KRBTGT, DC Sync
• Shadow Credentials et abus de PKI d’entreprise
• Attaques NTLM relay et délégations ciblées
• OPSEC : rythme, jitter, timeboxing, couverture des traces
• Exemples d’IOCs et appuis de détection
• atelier : laboratoire Kerberos (roast → ticket → DC Sync)

Exfiltration et actions sur objectifs

• Définir les objectifs métier (BIA, crown jewels)
• Collection : staging local, compression, steganography
• Exfiltration : HTTPS, DoH, SFTP, cloud contrôlé
• Réduction empreinte et tests de DLP/SIEM
• Seuils d’alerte, rate limiting, canaux de diversion
• atelier : exfiltration contre-mesurée dans l’environnement

Communication, coordination et sécurité opérationnelle

• War-room, canaux out-of-band, journal de bord chiffré
• Gestion incidents (pause/stop/kill-switch)
• Coordination avec sponsor et gestion des findings
• Legal hold, conservation de preuve, confidentialité
• Bilan OPSEC et plan de remédiation
• atelier : exercice de crise et communication

Rapport, storytelling et remédiations

• Architecture d’un rapport Red Team orienté risques
• Narratif : kill chain, impact métier, probabilité & sévérité
• Recommandations : techniques, process, priorisation
• Annexes : IOCs, TTPs, artefacts & méthodologie
• Présentation exécutive et technique (deux niveaux)
• atelier : rédaction d’un rapport exécutif + annexes

Retour d’expérience et durcissement défensif

• Purple teaming : transformation des TTPs en tests
• Déclinaison détections (SIEM/EDR) et chasse basée TTP
• Playbooks N1/N2, alerting, runbooks d’escalade
• Simulation continue & baselining
• Cartographie des gaps et plan d’amélioration continue
• atelier : convertir 3 TTPs en règles de détection

Synthèse et préparation à la mise en production

• Checklist pré-engagement et post-engagement
• Modèles threat profile et scénarios d’émulation
• Boîte à outils : C2, redirectors, infra as code
• Bonnes pratiques éthiques et juridiques
• Plan de montée en compétences et ressources
• atelier : préparation d’un kit d’engagement réutilisable