botconf
Quelques notes publiables en passant :) tous les talks n'étant pas TLP:CLEAR⚪ pour l'instant, voici les quelques Talks partageables 😄. Cette année la BotConf à lieu à Nice, sous un soleil brillant. Unplugging PlugX: Sinkholing the PlugX USB worm botnet Lors d'une investigation, ils ont
2022
Bridging the air-gap Les malwares capables de franchir de l’air-gap sont rares et fournissent un canal de communication discret. Les orateurs ont identifié 17 frameworks air-gap développés par des menaces étatiques. Les frameworks connectés gèrent une machine connectée à internet et une de l’autre-côté de l’air-gap. Souvent
2022
Identifying malware campaign on a budget Les orateurs se sont fixés quelques contraintes: cross-platform, passage à l’échelle, économe en ressources, applicable au réel. Le hardware dédié c’est du Raspberry Pi 3 pour limiter les coûts. Chaque analyseur est un module qui fait un petit truc tout seul afin
2022
Qbot: tlp Amber donc ni stream ni liveblogging. Takedown du RTM Botnet – group-IB Un dossier qui a commencé en 2019 entre 5 pays: Russie, Ukraine, Singapour, Roumanie et Bulgarie. Les pays russophones sont connus pour exporter beaucoup de malwares vers l’ouest, en 2008 Zeus à révolutionné le paysage du
botconf
WebAssembly Reverse Engineering and Analysis WebAssembly est un standard d’assembleur pour une machine virtuelle stack-based conçue pour être facilement transformé en langage natif (assembleur). C’est l’équivalent du binaire pour le web. La compilation vers WASM peut se faire avec LLVM 6.0. L’implémentation de référence est
botconf
ça commence par du TLP Amber pour le premier talk 😉 [Edit: le cr en anglais par @xme pour le 2ème jour ici ] Botception: a bot spreading scripts with bot capabilities Durans le monitoring du botnet Necurs, l’orateur à découvert une campagne d’installation d’un autre bot. Necurs est
botconf
C’est reparti pour une nouvelle BotConf à Toulouse… malgré quelques problèmes de transports en commun pour ceux qui ont participé aux workshops 😉 [Edit: @xme à un compte-rendu en anglais ici ] Swimming in the Cryptonote Pools Un premier talk du CERT-EU. Sur BitCoin, on peut tracer l’ensemble des transactions
botconf
RTF Le format rtf reprend les principes de html pour la mise en forme, avec un système de ‘balisage’ imbriqué, mais avec des accolades. Plusieurs techniques d’obfuscation sont possibles pour virer les espaces, imbriquer a mort des propriétés, ou l’insertion de propriétés mortes. PWS Les password stealer sont
botconf
Knightcrawler Un projet personnel de l’orateur qui visait à obtenir sa propre source de threat intel « maison ». Knightcrawler vise à découvrir des attaques de type « watering hole » (ou point d’eau) pour infecter les visiteurs d’un site compromis. Typiquement un Exploit Kit ou des pages de Phishing. Ces
botconf
Edit: Le WriteUp de @xme How to Compute the Clusterization of a Very Large Dataset of Malware with Open Source Tools for Fun & Profit? Les techniques de classification en Machine Learning reposent sur la création d’un vecteur de features qu’on génère à partir des données de chaque
botconf
Nymaim Nymain est un malware vu la première fois en 2013 dont le code source à été leaké, et qui maintenant sert de dropper pour de la fraude bancaire. Alors qu’en 2013 il servait de ransomware. Le malware vérifie les infos CPU et refuse de s’exécuter sur des
botconf
(CR de @xme ici) Christiaan Beek – Intel Security – Keynote on ransomware Les ransomwares se sont développés aussi à l’aide des crypto-monnaie qui facilitent la furtivité des cyber-criminels. 2016 est vraiment l’année des ransomware pour l’orateur. Certains criminels ont ainsi déployé des ransomware basé sur du bash parce-qu’