Botconf : Résumé du 29 avril

Botconf : Résumé du 29 avril

Cette dernière journée a démarré avec un beau soleil nantais. Les conférences étaient passionnantes avec des intervenants de tout les continents.

Merci encore à l’équipe d’organisation pour cet évènement de qualité.

Aperçu de la première conférence de la journée

Jour 3

Jour 3.1 – Jumping the air-gap: 15 years of nation-state efforts – Alexis Dorais—Joncas (@adorais), Facundo MUNOZ (@0xfmz)

Deux chercheurs de l’entreprise ESET ont exposé une étude qu’ils ont menée sur les attaques ciblant les machines physiquement isolées et déconnectées d’un système d’information (air-gapped computers). Leur étude s’est notamment concentrée sur les malwares utilisant des clés USB comme vecteur de propagation.

Celle-ci est disponible à l’adresse suivante : https://www.welivesecurity.com/2021/12/01/jumping-air-gap-15-years-nation-state-effort/


Jour 3.2 – Gendarmerie nationale cyberspace command – Eric Freyssinet

Cette conférence nous a été proposée par Eric Freyssinet, organisateur de la Botconf. Le sujet de cette conférence était l’évolution de la cybersécurité et l’organisation de la gendarmerie en France. Plusieurs statistiques nous ont été communiquées, et notamment l’augmentation du nombre d’attaques remontées à la gendarmerie. De leur point de vue, un changement est en cours au niveau des attaquants avec une réelle augmentation du Crime as a service.


Jour 3.3 – Detecting and Disrupting Compromised Devices based on Their Communication Patterns to Legitimate Web Services – Hen TZABAN

Une chercheuse de l’entreprise Akamai nous a exposé une méthode d’analyse permettant d’identifier des comportements anormaux au niveau réseau pouvant indiquer la compromission d’une machine par un malware. Cette méthode se base sur l’analyse du trafic afin d’identifier une fréquence anormale des requêtes effectuées vers des noms de domaine légitimes. Cette technique a permis à Akamai d’identifier un cas réel d’infection d’un poste avant sa détection par les antivirus.


Jour 3.4 – ProxyChaos: a year-in-review of Microsoft Exchange exploitation – Mathieu Tartare (@matthieutartare)

Le chercheur de l’entreprise ESET nous a fait une présentation de l’évolution des vulnérabilités ayant impacté les serveurs Exchange durant l’année 2021. En parallèle de la présentation de ces vulnérabilités, celui-ci nous a exposé des informations sur les groupes ayant activement exploité ces vulnérabilités. Les statistiques que celui-ci nous a divulguées montrent bien l’étendue de ces vulnérabilités qui ont impacté l’ensemble des pays du monde.

Plusieurs papiers sont disponibles sur leur site internet en lien avec leur conférence, vous trouverez le papier principal à cette adresse : https://www.welivesecurity.com/fr/2021/03/10/serveurs-exchanges-assieges-groupes-apt/


Jour 3.5 – Suricata (in preview for a workshop in 2023) – Eric Leblond (@regiteric)

Durant cette conférence du co-fondateur de Stamus Networks, l’outil d’analyse d’activité réseau et de détection d’intrusion Suricata nous a été exposé. Parmi les différentes fonctionnalités de cet outil, les méthodes d’analyse des paquets réseau permettant d’identifier des communications anormales ou malveillantes nous ont été présentées.


Jour 3.6 – Privateloader – The malware behind a havoc-wreaking Pay-Per-Install service – Souhail HAMMOU (@Dark_Puzzle)

Le but de cette conférence était de nous exposer une étude détaillée du malware PrivateLoader, de son fonctionnement ainsi que de ses fonctionnalités.

Une publication détaillant le sujet de la conférence a été publiée par le chercheur à l’adresse suivante : https://intel471.com/blog/privateloader-malware


Jour 3.7 – Qakbot malware family evolution – Markel PICADO ORTIZ, Carlos RUBIO RICOTE

Cette présentation a été l’occasion pour les conférenciers de nous communiquer les résultats de leur étude sur QBot. Ils nous ont notamment exposé son fonctionnement, l’évolution de son code depuis 2013, ainsi que les différentes versions ayant été publiées. Les deux chercheurs ont également réussi à associer aux affiliés de Qbot les samples qu’ils avaient obtenus, et ils ont réussi à dater et à estimer le nombre de campagnes d’attaques effectuées par affilié.


La journée s’est ensuite terminée par une présentation d’éric Freyssinet dévoilant l’organisation prévue pour l’année 2023. La prochaine édition de la Botconf aura donc lieu en avril 2023 à Strasbourg.


Théophile

Analyste CERT-XMCO