https://cyberveille.ch/tags/dynamic-code/ Recent content in Dynamic Code on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Sun, 21 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-21-fingerprinting-des-implants-c2-modernes-via-la-telemetrie-etw-a-l-execution/ Sun, 21 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-21-fingerprinting-des-implants-c2-modernes-via-la-telemetrie-etw-a-l-execution/ <h2 id="-contexte">🔍 Contexte</h2> <p>Présentation publiée le 11 juin 2026 par Dominik Phillips et Sebastian Feldmann, membres du CSIRT de Deutsche Bahn AG, dans le cadre de la conférence x33fcon 2026. Le contenu est disponible sur GitHub (threathunters-io). L&rsquo;objectif est de décrire une approche de <strong>fingerprinting d&rsquo;implants C2 modernes</strong> à l&rsquo;exécution, avec un bon rapport performance/confiance.</p> <h2 id="-problématique">🎯 Problématique</h2> <p>Les équipes Blue Team détectent aujourd&rsquo;hui les opérateurs (activité post-compromission) mais rarement <strong>l&rsquo;implant lui-même</strong>. Les outils de scan mémoire comme <strong>Moneta</strong>, <strong>PE-Sieve</strong> ou <strong>Hunt-Sleeping-Beacons</strong> sont efficaces mais nécessitent une exécution manuelle et sont déclenchés après détection de l&rsquo;opérateur. Les artefacts révélateurs (allocations RWX, modules stomped, hooks ntdll, abus de timers/APC, threads anormaux) ne sont pas exposés par les capteurs de sécurité classiques.</p>