Construire une Infra C2 avec Sliver en Lab Isole pour la Recherche Defensive

A chaque fois qu un analyste SOC ouvre un ticket pour 'beacon suspect', il y a de fortes chances que personne dans l equipe n ait deja vu un C2 fonctionner pour de vrai. Les operateurs Red Team utilisent Sliver, Mythic et Havoc tous les jours, mais la plupart des defenseurs connaissent ces frameworks uniquement par des captures dans des rapports Mandiant. Basilisk OffSec a monte un lab isole en VLAN sans sortie internet precisement pour combler ce vide. L objectif n est pas d attaquer quoi que ce soit dehors: c est de generer une telemetrie realiste pour que la Blue Team entraine ses regles de detection sur des indicateurs qu elle a elle meme generes, controles et documentes. Sans ca, le threat hunting reste de la devinette eduquee.

Sliver est ecrit en Go, maintenu par BishopFox, avec des implants pour Windows, Linux et macOS via mTLS, WireGuard, HTTP(S) et DNS. Compare a Cobalt Strike, il est gratuit, open source et auditable; compare a Mythic, il demande moins d infra pour un petit lab. Notre setup utilise une VM Debian 12 comme teamserver avec 4 vCPU et 8 Go RAM, derriere un pfSense qui n autorise le trafic qu entre le VLAN C2 (10.50.10.0/24) et le VLAN victimes (10.50.20.0/24). Aucun NAT sortant. Si vous n avez pas encore monte de lab de base, le parcours couvert dans Pentest Web depuis Zero: Construire un Lab Sur avec DVWA, Juice Shop et Burp Suite sert de fondation solide avant d aller plus loin.

L installation du teamserver est directe: 'curl https://sliver.sh/install | sudo bash' fonctionne, mais en environnement isole on telecharge le binaire signe, on le verifie avec cosign et on le copie via une cle USB dediee. On genere des profils d implant avec 'generate --mtls 10.50.10.5:8443 --os windows --arch amd64 --skip-symbols --save ./payloads'. Le flag --skip-symbols reduit le binaire de 40% et complique le reverse engineering rapide, tout en gardant assez pour debug. Sur un lab Windows 11 21H2 avec Defender real time actif, l implant non obfusque meurt en 12 secondes: c est exactement ce qu on veut mesurer. Pour comprendre la chaine de livraison qui precede le beacon, lisez Initial Access Simule: Macros, LNK et ISO dans un Lab Windows 11 Isole.

La partie la plus instructive arrive apres que le beacon se connecte. Chaque commande operateur (whoami, getsystem, execute-assembly, sideload) genere un pattern de processus, des appels API et une empreinte reseau que l equipe defense doit apprendre a reconnaitre. On lance Sysmon avec la config SwiftOnSecurity, un Elastic Agent qui envoie vers un cluster local, et on correle les evenements avec des regles Sigma. Sur 3 sprints, on a cartographie 47 nouvelles detections, des named pipes par defaut de Sliver jusqu aux spawns rundll32 sans command line. Tout ce pipeline IOC vers regle est detaille dans Threat Hunting avec Sigma et Elastic: De l'Indicateur a la Regle de Detection et se marie tres bien avec ce qu on voit ici.

Le mouvement lateral dans le lab, c est la que ca devient interessant. On monte un mini-AD avec 2 DCs, 4 workstations et un file server, qui reproduit la topologie d un client de taille moyenne. Avec l implant Sliver initial sur un poste a faibles privileges, on utilise rubeus pour du Kerberoasting, puis on pivote via WireGuard pour atteindre le DC sans jamais le toucher directement depuis le teamserver. Les techniques de Pentest Active Directory : Kerberoasting Pas a Pas dans un Lab GOAD et Pivoting avec Chisel et Ligolo-ng : Reseaux Segmentes en Lab de Pentest sont fondamentalement la meme logique avec des outils differents. Le point cle: chaque saut laisse des traces - 4624 type 3, 4769 avec chiffrement faible, connexions WMI anormales - et tout ca devient du materiel d entrainement pour le hunting.

L OPSEC du lab compte plus qu on ne croit. Meme air-gapped, des snapshots contenant des implants actifs ont deja fuite vers des repos publics parce que quelqu un les a uploades par erreur. Notre regle: les VMs du lab vivent sur un datastore chiffre LUKS, les snapshots ne quittent jamais l hote, et tout artefact qui doit sortir (regle Sigma, IOC, video) passe par une revue manuelle. Ca rejoint l approche de OPSEC pour Chercheurs en Securite: Modele de Menace Personnel et Hygiene des Metadonnees : Nettoyer EXIF, PDF et Office avant Publication - l erreur classique, c est de publier un PDF de rapport dont les metadonnees livrent username, hostname et meme le chemin du fichier sur le portable perso du chercheur.

A retenir concretement: si vous defendez une entreprise et n avez jamais vu un beacon Sliver sur un ecran que vous controlez, votre detection reste theorique. Bloquez un vendredi entier, montez le lab avec pfSense + Debian + 2 Windows, generez un implant non obfusque, laissez le tourner pendant 30 minutes et ouvrez Sysmon. Vous repartirez avec plus de matiere pour le hunting que trois formations payantes cumulees - et zero risque legal, parce que tout se passe dans le VLAN 10.50.0.0/16 qui ne parle a personne dehors.