C2, Cobalt Strike et Empire
Plan de simulation et télémétrie
Architecture de simulation adversaire, gouvernance, détection, sécurité de l’infrastructure et nettoyage.
Plan par technique
Pour chaque action : technique ATT&CK, système, heure, preuve, signal attendu et condition d’arrêt.
| Technique | Action de lab | Signal attendu |
|---|---|---|
| Command and Scripting | commande canari | process + ligne de commande |
| Application Layer Protocol | trafic HTTP synthétique | proxy/IDS/EDR |
| Scheduled Task | tâche temporaire de lab | 4698/Sysmon |
Beaconing simulé
Il est possible de tester les détections avec un script interne générant des requêtes périodiques vers un serveur canari, sans utiliser un agent C2 réel.
# Lab uniquement : trafic synthétique visible et non furtif
import time, urllib.request
for _ in range(5):
urllib.request.urlopen('http://192.0.2.50:8080/canary', timeout=3).read()
time.sleep(30)
Mesures
- délai de détection ;
- qualité de l’alerte ;
- enrichissement ;
- escalade ;
- confinement ;
- faux positifs ;
- visibilité réseau et endpoint.