Formation certification Red Team Ops 2

Programme de notre formation certification Red Team Ops 2

Fondations avancées & infrastructure

• Objectifs et périmètre de RTO II ; posture OPSEC avancée
• Rappels ciblés : adversary emulation, MITRE ATT&CK, kill chain
• Panorama des outils : Cobalt Strike, redirecteurs, profils malleables
• Choix d’architecture C2 (on‑prem / cloud) et modèles de résilience
• Atelier : mise en place d’une infra C2 de base (listener, profil, redirecteur)

Infrastructure C2 durcie et camouflage réseau

• Configuration d’Apache/Nginx redirectors et certificats TLS
• Camouflage par URI, User‑Agent, cookies, hôtes frontaux
• Gestion du trafic (staging/beacon) et rotation des IOCs
• Journalisation minimale et hygiène OPSEC
• Atelier : déployer un redirecteur HTTPS avec règles de filtrage

Windows APIs & développement offensif

• Interop C# / C++ ; appels Windows API, D/Invoke, ordinals
• Modèles d’injection (CreateRemoteThread, APC, MapViewOfFile)
• PPID spoofing, masquage de commande, gestion des handles
• Nettoyage mémoire et réduction de surface de détection
• Atelier : coder un loader simple s’appuyant sur WinAPI

Évasion des défenses

• Fonctionnement des EDR/AV (ETW, hooks user/kernel)
• Offuscation en mémoire, syscalls directs/indirects
• Bypass d’AMSI et durcissement du beacon
• Tests contrôlés et mesure du bruit
• Atelier : évaluer un payload face à un EDR de labo

ASR & WDAC : comprendre et contourner

• Politiques Attack Surface Reduction (ASR) : logique, règles, télémétrie
• Windows Defender Application Control (WDAC) : catalogues, signatures
• Abus de LOLBAS, détournements signés et chargements permissifs
• Scénarios d’évasion responsables et limites éthiques
• Atelier : contourner une politique WDAC en environnement simulé

Processus protégés & durcissements Windows

• Modèle des Protected Processes et implications offensives
• Contrainte code signing, certificats et chaînes de confiance
• Techniques d’accès contrôlé et exécution conditionnelle
• Stratégies de rollback & désengagement propre
• Atelier : analyse guidée d’un cas de processus protégé

Chaîne d’attaque intégrée

• Orchestration bout‑en‑bout : infra, chargement, pivot, actions
• Gestion des artefacts et log minimalistes
• Adaptation tactique en temps réel
• Préparation d’un playbook d’équipe
• Atelier : exercice fil rouge d’intrusion contrôlée

Adversary emulation & threat intel

• Modéliser un adversaire avec ATT&CK (tactiques/techniques)
• Cartographie des contrôles défensifs et hypothèses
• Renseigner des objectifs, préconditions et sorties attendues
• Mesurer l’impact et la couverture
• Atelier : mapping d’un scénario RTO II sur ATT&CK

Reporting Red Team exécutif & technique

• Structure : résumé exécutif, narration, preuves, recommandations
• Traceabilité : timelines, captures, indicateurs, IOCs
• Qualité rédactionnelle et actionnabilité
• Préparer la soutenance et le debrief multi‑parties
• Atelier : rédaction d’un mini‑rapport structuré

Préparation certification

• Mise en condition & contraintes de l’épreuve RTO II
• Révision ciblée : C2, injections, évasion, rapport
• Stratégie de gestion du temps et des flags
• Check‑list d’avant‑examen
• Atelier : simulation type examen

Analyse post‑simulation & plan d’ancrage

• Revue des réussites et axes d’amélioration
• Consolidation des acquis techniques
• Plan de progression (labs, lectures, drill)
• Préparer la montée vers des cursus connexes
• Atelier : rétro sur preuves & amélioration continue

Clôture & certification

• Valorisation des compétences & livrables attendus
• Rappels éthiques et conformité
• Projection métier et veille
• Feuille de route post‑certification
• Atelier : simulation d’entretien & pitch de mission