Fingerprinting des implants C2 modernes via la télémétrie ETW à l'exécution
🔍 Contexte Présentation publiée le 11 juin 2026 par Dominik Phillips et Sebastian Feldmann, membres du CSIRT de Deutsche Bahn AG, dans le cadre de la conférence x33fcon 2026. Le contenu est disponible sur GitHub (threathunters-io). L’objectif est de décrire une approche de fingerprinting d’implants C2 modernes à l’exécution, avec un bon rapport performance/confiance. 🎯 Problématique Les équipes Blue Team détectent aujourd’hui les opérateurs (activité post-compromission) mais rarement l’implant lui-même. Les outils de scan mémoire comme Moneta, PE-Sieve ou Hunt-Sleeping-Beacons sont efficaces mais nécessitent une exécution manuelle et sont déclenchés après détection de l’opérateur. Les artefacts révélateurs (allocations RWX, modules stomped, hooks ntdll, abus de timers/APC, threads anormaux) ne sont pas exposés par les capteurs de sécurité classiques. ...