AgentWard : systÚme de sécurité open source pour agents IA avec défense en profondeur hétérogÚne

đŸ›Ąïž Contexte PubliĂ© le 19 avril 2026 sur GitHub par le FIND-Lab, AgentWard (玄ç”Č) est un systĂšme d’exploitation de sĂ©curitĂ© full-stack open source destinĂ© au dĂ©ploiement fiable et scalable d’agents IA. Il est nativement intĂ©grĂ© Ă  la plateforme OpenClaw et conçu pour ĂȘtre Ă©tendu Ă  d’autres frameworks d’agents. đŸ—ïž Architecture AgentWard repose sur une architecture de dĂ©fense en profondeur hĂ©tĂ©rogĂšne (DiD) qui restructure le workflow des agents IA en cinq couches de sĂ©curitĂ© coordonnĂ©es : ...

19 avril 2026 Â· 3 min

Astral Projection : un UDRL Cobalt Strike avec module stomping avancé et évasion en mémoire

🔍 Contexte PubliĂ© le 19 avril 2026 sur GitHub par le compte KuwaitiSt, le projet Astral Projection est un UDRL (User-Defined Reflective Loader) conçu pour Cobalt Strike, un framework offensif largement utilisĂ© dans les opĂ©rations red team et par des acteurs malveillants. ⚙ Fonctionnement technique Astral Projection implĂ©mente des techniques d’évasion en mĂ©moire avancĂ©es : Chargement d’un module lĂ©gitime via LoadLibraryExW puis Ă©crasement de son contenu (module stomping) Pendant les phases de sommeil du beacon, le module est dĂ©chargĂ© (unmapped) tout en maintenant les entrĂ©es PEB intactes Un module frais est rechargĂ© (remapped) au rĂ©veil pour Ă©viter la dĂ©tection par des IOCs statiques en mĂ©moire đŸ› ïž DĂ©pendances et configuration Le projet est construit avec Crystal Palace et s’appuie partiellement sur le code du projet Crystal-Kit. ...

19 avril 2026 Â· 3 min

BishopFox publie Cirro : plateforme open-source de recherche sécurité pour environnements cloud et identités

🔍 Contexte PubliĂ© en avril 2026 sur GitHub par BishopFox, Cirro est une plateforme de recherche en sĂ©curitĂ© open-source destinĂ©e aux chercheurs et aux testeurs d’intrusion. Elle permet de collecter, analyser et visualiser des environnements cloud ainsi que les relations d’identitĂ© au travers de bases de donnĂ©es graphes. đŸ—ïž Architecture et fonctionnalitĂ©s Cirro repose sur une architecture modulaire articulĂ©e autour de deux fonctions principales : cirro collect : collecte d’informations depuis diverses plateformes et APIs cirro graph : gestion des opĂ©rations sur la base de donnĂ©es graphe (ingestion, export) L’outil supporte plusieurs mĂ©thodes d’authentification pour Azure (Azure CLI, client secret, certificat client, access token, username/password) ainsi que la collecte de donnĂ©es Tailscale pour l’analyse de topologie rĂ©seau. ...

19 avril 2026 Â· 2 min

DSCourier : PoC contournant CrowdStrike, MDE et Elastic via l'API COM WinGet/DSC

🔍 Contexte PubliĂ© le 19 avril 2026 sur GitHub par DylanDavis1, DSCourier est un outil de preuve de concept (PoC) accompagnĂ© d’un article de blog technique dĂ©taillĂ©. Il s’inscrit dans une dĂ©marche de recherche offensive sur les techniques de contournement d’EDR. ⚙ Technique exploitĂ©e DSCourier exploite l’API COM WinGet Configuration (Microsoft.Management.Configuration) pour appliquer des configurations DSC (Desired State Configuration) en passant par des binaires signĂ©s Microsoft. Cette approche permet de masquer l’activitĂ© malveillante derriĂšre des processus lĂ©gitimes et de confiance. ...

19 avril 2026 Â· 2 min

SmokedMeat : framework red team post-exploitation pour pipelines CI/CD publié par BoostSecurity Labs

🔍 Contexte PubliĂ© sur GitHub par BoostSecurity Labs, SmokedMeat est un framework red team post-exploitation ciblant les pipelines CI/CD. Il est prĂ©sentĂ© comme l’équivalent de Metasploit pour les environnements d’intĂ©gration et de dĂ©ploiement continus. đŸ› ïž Description technique SmokedMeat est composĂ© de trois composants principaux : Counter : interface TUI opĂ©rateur (terminal) Kitchen : serveur C2 (teamserver) gĂ©rant les sessions, stagers, callbacks et graphe d’attaque Brisket : implant dĂ©ployĂ© sur les runners CI compromis, assurant le beaconing, l’exĂ©cution de commandes et le pivoting Le framework intĂšgre Ă©galement un scanner SAST de pipelines (poutine, embarquĂ©) et un scanner de secrets (gitleaks, embarquĂ©). ...

19 avril 2026 Â· 3 min

Little Snitch pour Linux : outil de monitoring réseau basé sur eBPF et Rust

📅 Source : Blog officiel d’Objective Development (obdev.at), publiĂ© le 8 avril 2026 par Christian. 🔍 Contexte Face aux prĂ©occupations croissantes sur la dĂ©pendance aux logiciels contrĂŽlĂ©s par des entitĂ©s Ă©trangĂšres, le dĂ©veloppeur de Little Snitch (macOS) a explorĂ© Linux comme alternative. Constatant l’absence d’outil Ă©quivalent Ă  Little Snitch sur Linux, il a dĂ©cidĂ© de le construire. ⚙ Architecture technique Interception du trafic : eBPF au niveau kernel (haute performance, portable) Backend : Ă©crit en Rust Interface utilisateur : application web (permet la surveillance Ă  distance depuis n’importe quel appareil) CompatibilitĂ© : dĂ©veloppĂ© sur Ubuntu 25.10 avec kernel 6.17, confirmĂ© fonctionnel sur kernel 6.12+. CompatibilitĂ© thĂ©orique jusqu’au kernel 5.17 (introduction de bpf_loop()), couvrant Debian 12 et Ubuntu 24.04 LTS. 🔓 ModĂšle open source ...

11 avril 2026 Â· 2 min

IRQL : un langage de requĂȘte CTI unifiĂ© en KQL pour l'analyse de sĂ©curitĂ©

🔍 Contexte PubliĂ© le 04/05/2026 sur GitHub (gist de Diana Damenova), cet article prĂ©sente IRQL (Incident Response Query Language), une bibliothĂšque de fonctions KQL (Kusto Query Language) conçue pour unifier et simplifier l’analyse des logs de sĂ©curitĂ© dans des environnements Microsoft (Azure, Sentinel, Defender XDR). đŸ› ïž Description de l’outil IRQL a Ă©tĂ© créé par Saar Ron, John Lambert et Diana Damenova. Il s’agit d’un ensemble de fonctions KQL organisĂ©es en cinq familles : ...

5 avril 2026 Â· 2 min

VanGuard : toolkit DFIR open-source tout-en-un pour la réponse à incident en entreprise

đŸ›Ąïž Contexte PubliĂ© le 04/05/2026 sur GitHub par Ridgeline Cyber Defence, VanGuard est un toolkit de rĂ©ponse Ă  incident (DFIR) open-source dĂ©veloppĂ© en Go, conçu pour les Ă©quipes de sĂ©curitĂ© en entreprise. Il se prĂ©sente comme un binaire unique, portable, sans installation requise, compatible Windows et Linux. 🔧 FonctionnalitĂ©s principales VanGuard consolide l’ensemble du cycle de vie IR dans un seul exĂ©cutable : Triage rapide : collecte de 20+ catĂ©gories d’artefacts Windows et 15+ Linux (processus, logs, tĂąches planifiĂ©es, historique navigateur, registre, connexions rĂ©seau, etc.) Threat Hunting : intĂ©gration de Hayabusa (Sigma), Chainsaw, Loki (IOC scanning), YARA ; dĂ©tection de LOLBins, autoruns suspects, DLL hijacking, unitĂ©s systemd rogues, binaires SUID, patterns C2 Forensique mĂ©moire : capture via DumpIt, WinPMEM, AVML, LiME ; analyse via Volatility3 Collecte disque : KAPE + EZ Tools (Windows), UAC (Linux) OpĂ©rations Velociraptor : gestion complĂšte du cycle de vie serveur/agent, dĂ©ploiement via WinRM/SSH/PSExec, VQL, hunts OpĂ©rations distantes : exĂ©cution simultanĂ©e sur plusieurs endpoints, authentification NTLM/SSH/PSExec Reporting : rapports HTML auto-contenus, super-timelines CSV, clustering MITRE ATT&CK automatique 📋 BibliothĂšque de 28 cas d’usage prĂ©-construits Chaque cas d’usage inclut un mapping MITRE ATT&CK, une classification de sĂ©vĂ©ritĂ© et une collecte d’artefacts phasĂ©e : ...

5 avril 2026 Â· 2 min

trustme : BOF Cobalt Strike pour élévation vers TrustedInstaller via l'API DISM

🔍 Contexte PubliĂ© le 26 mars 2026 sur GitHub par l’utilisateur Meowmycks, le projet trustme est un Beacon Object File (BOF) conçu pour s’intĂ©grer Ă  Cobalt Strike et permettre une Ă©lĂ©vation de privilĂšges avancĂ©e sur les systĂšmes Windows. 🎯 Objectif L’outil Ă©lĂšve un beacon Cobalt Strike depuis un contexte administrateur vers NT AUTHORITY\SYSTEM avec le SID NT SERVICE\TrustedInstaller dans les groupes du token. Cela permet de modifier des fichiers, clĂ©s de registre et objets protĂ©gĂ©s par TrustedInstaller, inaccessibles mĂȘme avec les droits SYSTEM classiques. ...

29 mars 2026 Â· 2 min

Fritter : fork évasif de Donut pour la génération de shellcode polymorphique en mémoire

đŸ› ïž Contexte PubliĂ© le 22 mars 2026 sur GitHub (compte 0xROOTPLS), Fritter est prĂ©sentĂ© comme un outil offensif open-source, fork lourdement modifiĂ© du projet Donut de TheWover et Odzhan. 🔍 Description technique Fritter est un gĂ©nĂ©rateur de shellcode position-independent (PIC) conçu pour l’exĂ©cution en mĂ©moire de plusieurs types de charges utiles : VBScript, JScript ExĂ©cutables (EXE), DLL Assemblages .NET L’outil se distingue de Donut par une refonte complĂšte des couches internes : ...

22 mars 2026 Â· 2 min
Derniùre mise à jour le: 4 juillet 2026 📝