Red Team Field NotesPentest · Adversary Simulation · Validation
C2, Cobalt Strike et Empire

Plan de simulation et télémétrie

Architecture de simulation adversaire, gouvernance, détection, sécurité de l’infrastructure et nettoyage.

Plan par technique

Pour chaque action : technique ATT&CK, système, heure, preuve, signal attendu et condition d’arrêt.

Technique Action de lab Signal attendu
Command and Scripting commande canari process + ligne de commande
Application Layer Protocol trafic HTTP synthétique proxy/IDS/EDR
Scheduled Task tâche temporaire de lab 4698/Sysmon

Beaconing simulé

Il est possible de tester les détections avec un script interne générant des requêtes périodiques vers un serveur canari, sans utiliser un agent C2 réel.

# Lab uniquement : trafic synthétique visible et non furtif
import time, urllib.request
for _ in range(5):
    urllib.request.urlopen('http://192.0.2.50:8080/canary', timeout=3).read()
    time.sleep(30)

Mesures

Références officielles