ETW

🔍 Contexte Présentation publiée le 11 juin 2026 par Dominik Phillips et Sebastian Feldmann, membres du CSIRT de Deutsche Bahn AG, dans le cadre de la conférence x33fcon 2026. Le contenu est disponible sur GitHub (threathunters-io). L’objectif est de décrire une approche de fingerprinting d’implants C2 modernes à l’exécution, avec un bon rapport performance/confiance. 🎯 Problématique Les équipes Blue Team détectent aujourd’hui les opérateurs (activité post-compromission) mais rarement l’implant lui-même. Les outils de scan mémoire comme Moneta, PE-Sieve ou Hunt-Sleeping-Beacons sont efficaces mais nécessitent une exécution manuelle et sont déclenchés après détection de l’opérateur. Les artefacts révélateurs (allocations RWX, modules stomped, hooks ntdll, abus de timers/APC, threads anormaux) ne sont pas exposés par les capteurs de sécurité classiques. ...

🔍 Contexte Article technique publié le 4 mai 2026 par Remco van der Meer sur incendium.rocks, présentant des mises à jour du projet MS-RPC-Fuzzer et les résultats obtenus, notamment la découverte d’une escalade de privilèges vers NT AUTHORITY\SYSTEM. 🛠️ Améliorations du fuzzer MS-RPC Deux fonctionnalités majeures ont été implémentées : Fuzzing récursif des structures complexes : trois fonctions coopérantes (New-FuzzedInstance, Get-FuzzFieldValue, New-NdrEmbeddedPointerValue) permettent de traverser récursivement les structures NDR imbriquées, avec des garde-fous anti-récursion infinie (profondeur max 8, ensemble $Visited). Support des types Union : gestion des unions MS-RPC IDL en sélectionnant aléatoirement un bras (Arm_N) et en synchronisant le discriminant pour éviter l’erreur No matching union selector when marshaling. 📡 Remplacement de Process Monitor par ETW Le fuzzer utilise désormais Event Tracing for Windows (ETW) via P/Invoke sur advapi32.dll et tdh.dll pour surveiller l’activité fichier et registre : ...

Dans un billet technique publié le 14 janvier 2026, l’auteur analyse la dernière version du loader Kazuar v3 attribué à Turla, faisant écho à une campagne évoquée par ESET (étiquette d’agent AGN-RR-01). Le point d’entrée est un VBScript (8RWRLT.vbs) qui crée des répertoires sous %LOCALAPPDATA%\Programs\HP\Printer\Driver, télécharge plusieurs fichiers depuis 185.126.255[.]132, exécute un exécutable HP signé (hpbprndi.exe) pour déclencher un DLL sideloading, et établit une persistance via une clé Run. Le script collecte ensuite des infos hôte (OS, uptime, archi CPU, nom machine/utilisateur/domaine, liste des processus, inventaire du dossier créé) et les envoie en POST vers /requestor.php. ...