Windows Backdooring Scenario

Durée de l'examen de certification : 8 heures

Tous les cours et tous les modes sont disponibles avec formateur [Présentiel & Distanciel] et sans formateur [Autonomie].

MAIN
Le scénario Windows Backdooring (SWB) familiarise les participants avec une approche pratique de la mise en place et de la détection de portes dérobées sur les systèmes Windows. La formation se concentre sur l’identification des différentes méthodes permettant à un attaquant d’obtenir un accès non autorisé au système d’exploitation. La mission du stagiaire est d’identifier puis de supprimer/neutraliser les backdoors détectées, tout en préservant la disponibilité des services fournis par des machines déployées sur un réseau simulant Internet.
Durée de l'apprentissage [h] : 1
Durée de l'exercice [h] : 4
Niveau de difficulté : Intermédiaire
Mode - Single Player : Oui
Mode - Human Blue Team vs Environment : 4 vs Auto
Mode - Human Blue Team vs Human Red Team : 4 vs 1
Techniques MITRE ATT&CK :
Le scénario principal regroupe toutes les techniques MITRE listées dans les scénarios atomisés ci-dessous.
Tâches planifiées, clés Run du Registre / Dossier Démarrage & fonctions d’accessibilité
Approche pratique du backdooring Windows : identifiez et supprimez les portes dérobées basées sur les tâches planifiées, les clés Run du Registre, le dossier de démarrage et le détournement des fonctions d’accessibilité. Accès à une machine Windows dédiée.
Durée de l'apprentissage [h] : 2
Durée de l'exercice [h] : 1
Niveau de difficulté : Intermédiaire
Mode - Single Player : Oui
Mode - Human Blue Team vs Environment : 1 vs Auto
Mode - Human Blue Team vs Human Red Team : 1 vs 1
MITRE :
  • Valid Accounts (Initial Access)
  • Command and Scripting Interpreter
  • Scheduled Task/Job (Execution)
  • Boot or Logon Autostart Execution
  • Event Triggered Execution
  • Hijack Execution Flow
  • Scheduled Task/Job (Persistence)
  • Deobfuscate/Decode Files or Information
  • Masquerading
  • Modify Registry
  • Application Layer Protocol
  • Encrypted Channel
Tâches planifiées, mshta & clés Run du Registre / Dossier Démarrage
Même démarche pratique, avec détournement de mshta et persistance via tâches planifiées et mécanismes d’autostart du système. Accès à un serveur Windows.
Durée de l'apprentissage [h] : 2
Durée de l'exercice [h] : 1
Niveau de difficulté : Intermédiaire
Mode - Single Player : Oui
Mode - Human Blue Team vs Environment : 1 vs Auto
Mode - Human Blue Team vs Human Red Team : 1 vs 1
MITRE :
  • Valid Accounts (Initial Access)
  • Command and Scripting Interpreter
  • Scheduled Task/Job (Execution)
  • Boot or Logon Autostart Execution
  • Scheduled Task/Job (Persistence)
  • Deobfuscate/Decode Files or Information
  • Masquerading
  • Modify Registry
  • Obfuscated Files or Information
  • System Binary Proxy Execution
  • Application Layer Protocol
  • Encrypted Channel
Tâches BITS, exécution de service & abonnement d’événement WMI
Identifiez et neutralisez des backdoors s’appuyant sur BITS, services Windows et abonnements WMI pour l’exécution déclenchée par événements et la persistance. Accès à un serveur Windows.
Durée de l'apprentissage [h] : 2
Durée de l'exercice [h] : 1
Niveau de difficulté : Avancé
Mode - Single Player : Oui
Mode - Human Blue Team vs Environment : 1 vs Auto
Mode - Human Blue Team vs Human Red Team : 1 vs 1
MITRE :
  • Valid Accounts (Initial Access)
  • Command and Scripting Interpreter
  • Scheduled Task/Job (Execution)
  • System Services
  • BITS Jobs
  • Create or Modify System Processes
  • Event Triggered Execution
  • Scheduled Task/Job (Persistence)
  • Deobfuscate/Decode Files or Information
  • Impair Defenses
  • Masquerading
  • Rootkit
  • Application Layer Protocol
  • Encrypted Channel
  • Ingress Tool Transfer
  • Data Manipulation