Note
La plupart de la certification traite du fonctionnement du noyau Windows. Il est donc nécessaire d’avoir un accès haute intégrité pour charger un driver et communiquer avec lui. L’escalade de privilèges ne fait pas partie du cours, l’objectif principal est de contourner les contrôles de sécurité.
Pourquoi suivre le CETP ?
Dans le paysage en constante évolution de la cybersécurité, le besoin de compétences pratiques pour contourner des mesures de sécurité sophistiquées comme Endpoint Detection and Response (EDR), les antivirus (AV) et autres contrôles de sécurité n’a jamais été aussi grand. Le Certified Evasion Techniques Professional (CETP) se distingue comme une voie de formation précieuse pour les professionnels cherchant à approfondir leur expertise en techniques d’évasion, développement kernel et reverse engineering de drivers.
Le cours CETP offre aux participants une expérience pratique complète avec des scénarios de sécurité réels, les équipant pour gérer la nature dynamique des menaces en cybersécurité. Comparé à des offres similaires telles que Maldev Academy, le CETP se distingue en plongeant considérablement plus profondément dans les subtilités de l’architecture Windows et des opérations au niveau du noyau. Son environnement de laboratoire étendu et méticuleusement conçu simule des configurations de sécurité réalistes au niveau entreprise, offrant une profondeur supplémentaire de compétence technique et permettant aux apprenants de pratiquer des stratégies d’attaque et de défense sophistiquées.
De quoi traite la certification ?
Le cours CETP plonge profondément dans divers domaines de sécurité critiques, en mettant particulièrement l’accent sur les composants internes du système d’exploitation Windows et les tactiques d’évasion basées la plupart du temps sur les attaques BYOVD. Les sujets clés incluent :
-
Windows Internals : Les participants explorent les composants Windows essentiels comme les processus, threads, tokens, mémoire virtuelle et structures de fichiers PE, acquérant une connaissance approfondie des subtilités de l’architecture Windows.
-
Développement Kernel : Le cours met l’accent sur les méthodes d’évasion au niveau noyau, enseignant aux étudiants à manipuler les structures de données du noyau telles que
_EPROCESS, contourner les protections comme LSASS Credential Guard, ou PPL, et utiliser efficacement des outils commeWinDbgpour le débogage kernel. -
Contournement de détection statique : Des techniques telles que Obfuscation LLVM (OLLVM), local process hollowing, et chargement CLR avec patching AMSI sont couvertes en profondeur, préparant les apprenants à éviter efficacement les outils d’analyse statique de malware.
-
Méthodes d’évasion avancées : Les participants sont initiés à des tactiques telles que l’attaque des callbacks kernel, le blocage de la télémétrie réseau EDR, le contournement des règles Attack Surface Reduction (ASR), et l’emploi de techniques anti-analyse.
Tout au long du cours, les étudiants reçoivent un large éventail de ressources incluant des diapositives détaillées, des manuels de laboratoire complets, des vidéos de parcours et des diagrammes. Les outils et scripts utilisés dans les laboratoires sont disponibles, garantissant que les participants peuvent reproduire et expérimenter de manière indépendante.
Examen
L’examen est une expérience complète de test d’intrusion pratique de 48 heures avec une heure supplémentaire pour compenser le temps de configuration initiale du laboratoire. L’environnement se compose de cinq serveurs cibles répartis sur un domaine avec des configurations et applications variées, accessibles via une VM fournie par RDP. L’objectif principal est d’obtenir l’exécution de commandes OS sur tous les serveurs cibles tout en évitant les mesures défensives incluant des solutions EDR opérant en mode blocage, le succès étant indiqué lorsque les outils et attaques ne sont plus bloqués.
De plus, les candidats doivent récupérer un flag final du contrôleur de domaine situé à un chemin de fichier spécifique. L’évaluation nécessite la soumission d’un rapport détaillé de haute qualité dans les 48 heures suivant l’expiration du laboratoire, idéalement en allouant 24 heures pour le travail pratique et 12 heures pour la documentation. Le rapport doit inclure des parcours complets avec captures d’écran, des explications détaillées des techniques d’évasion, des justifications d’utilisation des outils, et démontrer à la fois la méthodologie et l’état d’esprit de l’attaquant, avec des scores plus élevés accordés aux rapports citant des ressources open-source et de la recherche. Voici un projet utile pour vous aider à rédiger rapidement l’ensemble du rapport :
Aucun outil automatisé n’est pré-installé sur la VM d’examen, obligeant les candidats à télécharger uniquement les outils nécessaires via RDP, et l’environnement inclut des mécanismes de surveillance pour détecter les moyens déloyaux, avec des violations entraînant une disqualification et une période de refroidissement de six mois.
L’évaluation ciblait un environnement d’entreprise simulé composé de plusieurs serveurs Windows avec des configurations de sécurité variées, allant de systèmes avec des protections robustes à ceux présentant des lacunes de sécurité critiques. L’objectif principal était d’obtenir l’exécution de commandes du système d’exploitation sur tous les hôtes cibles tout en évitant les solutions de détection et réponse aux points de terminaison (EDR) et autres mesures défensives.
Méthodologie et chaîne d’attaque
J’ai rencontré un environnement Windows durci. L’infrastructure comportait une solution Endpoint Detection and Response (EDR) active opérant en mode blocage, un Anti-Malware avec protection en temps réel, et Virtualization-Based Security (VBS) avec Hypervisor-Protected Code Integrity (HVCI) activé sur plusieurs systèmes. Les processus critiques étaient protégés par des mécanismes Protected Process Light (PPL), tandis que Windows Defender Application Control (WDAC) appliquait des politiques strictes d’intégrité du code. L’environnement implémentait également Driver Signature Enforcement (DSE) et comportait une protection Local Security Authority Subsystem Service (LSASS) via des configurations RunAsPPL. Cette pile de sécurité moderne représentait l’état de l’art actuel en matière de durcissement d’entreprise Windows, rendant la compromission réussie particulièrement significative car elle démontre des vulnérabilités qui persistent même dans des environnements contemporains bien configurés avec plusieurs contrôles de sécurité qui se chevauchent.
Mon approche combinait énumération, collecte de fichiers, exploitation et activités post-exploitation. L’énumération initiale impliquait une découverte complète des processus de sécurité actifs et des protections système en utilisant des outils personnalisés et publiquement disponibles. J’ai découvert des postures de sécurité variées sur différents hôtes, certains implémentant des protections avancées tandis que d’autres présentaient des lacunes critiques dans leur architecture défensive.
Ma technique d’exploitation principale était centrée sur des méthodologies d’attaque au niveau noyau qui exploitaient des composants légitimes mais vulnérables pour contourner les mécanismes de sécurité. En exploitant ces composants de confiance, j’ai obtenu des privilèges kernel élevés nécessaires pour désactiver les protections des points de terminaison et extraire des identifiants sensibles des processus protégés.
Considérations du monde réel
L’applicabilité au monde réel est un point fort majeur de la formation CETP, particulièrement parce que les outils de sécurité, contrôles et systèmes d’exploitation évoluent continuellement. Le cours reconnaît explicitement que bien qu’il inclue des projets compatibles avec Windows 10, la compatibilité avec d’autres builds de Windows 10 ou Windows 11 n’est pas garantie. Le développement d’exploits exige une considération attentive du numéro de build spécifique d’une machine en raison des offsets et structures kernel variables, un détail essentiel souligné par des ressources comme la base de données Vergilius Kernel :
La vraie valeur de ce cours réside dans sa préparation stratégique, permettant aux participants de comprendre comment différents composants de sécurité interagissent au sein de Windows. Équipés de cette compréhension, les professionnels peuvent adapter leur approche pour n’importe quelle version d’OS, en modifiant et adaptant efficacement les bases de code existantes. Cette adaptabilité assure la compatibilité avec divers systèmes cibles, fournissant la capacité d’installer, personnaliser ou contourner les défenses selon les besoins. En sélectionnant et intégrant stratégiquement les concepts du cours, les apprenants sont mieux préparés pour naviguer et réussir dans le monde rapide et à enjeux élevés de l’évasion et de la défense en cybersécurité.
La série evasion est directement inspirée du travail de Saad sur le contenu CETP, merci encore.
