Reverse-Engineering

🔍 Contexte Publié le 21 juin 2026 sur GitHub (struppigel/hedgehog-tools), ktrace est un outil de traçage d’API pour drivers Windows en mode noyau, développé à l’aide d’une approche semi-automatisée (“vibe-coded”) combinant analyse manuelle et génération assistée par IA. 🛠️ Description de l’outil ktrace s’appuie sur l’émulateur Speakeasy (speakeasy-emulator) pour émuler l’exécution de fichiers .sys (drivers Windows) et capturer les appels aux API du noyau. L’outil a été conçu et validé à partir de l’analyse manuelle d’environ 20 rootkits en mode noyau et drivers, avec un corpus de test de 100 drivers soumis à un timeout de 30 secondes par échantillon. ...

🔍 Contexte Article de recherche publié le 02 mai 2026 sur le blog personnel d’Aaron Haymore (zonifer.dev). L’auteur présente une analyse technique complète du pilote noyau gdrv3.sys livré avec Gigabyte APP Center, dans le cadre d’une étude sur les attaques BYOVD (Bring Your Own Vulnerable Driver). 🎯 Objet de l’analyse Le pilote gdrv3.sys (MD5 : 2791bbd810b9bc086bb1631e0f16c821) est un pilote WDF signé par Microsoft, déposé dans C:\Windows\System32\drivers lors de l’installation de Gigabyte APP Center. L’analyse de sa table d’imports dans Ghidra révèle des fonctions dangereuses : MmMapIoSpace, MmGetPhysicalAddress, MmAllocateContiguousMemory, MmMapLockedPagesSpecifyCache, RDMSR/WRMSR. ...

🔍 Contexte Article publié le 29 mars 2026 sur le blog personnel de la chercheuse Persephone Karnstein, adapté d’une présentation donnée avec Mitchell Marasch à BSides Seattle 2026, pour le compte de Bureau Veritas Cybersecurity North America (anciennement Security Innovation). L’évaluation a été conduite fin 2025 / début 2026. 🎯 Périmètre de l’évaluation Les chercheurs ont évalué trois surfaces d’attaque : Le hardware physique (PCB/MBB de la moto Zero Motorcycles) L’application Android com.zeromotorcycles.nextgen Le firmware embarqué distribué via OTA (Over-The-Air) 🔓 Vulnérabilités identifiées 1. Secrets hardcodés dans l’application Android L’analyse de l’APK via JADX révèle dans com.zeromotorcycles.nextgen.BuildConfig : ...

🔍 Contexte Article publié le 26 mars 2026 par Patrick Wardle (Objective-See Foundation) sur son blog technique. L’article documente une analyse par rétro-ingénierie des nouveaux événements Endpoint Security (ES) introduits dans macOS 26.4, laissés sans documentation publique par Apple sous la forme ES_EVENT_TYPE_RESERVED_*. 🧩 Découverte des événements réservés Avec la sortie du MacOSX26.4.sdk, Apple a ajouté 7 nouveaux types d’événements ES (RESERVED_0 à RESERVED_6) sans les documenter ni les nommer. Wardle tente de s’y abonner via es_subscribe : ...

🔍 Contexte Article technique publié le 27 mars 2026 sur Substack par un chercheur en sécurité. Il documente l’analyse par rétro-ingénierie des Background Security Improvements (BSI), le nouveau mécanisme de correctifs silencieux d’Apple introduit avec iOS 26.1/macOS 26.1 en remplacement des Rapid Security Responses (RSR). 🛡️ Mécanisme BSI Les BSI fonctionnent via des cryptexes (images disque scellées sur le volume preboot) contenant Safari, WebKit et les bibliothèques système. Le patch applique un diff binaire sur le cryptex concerné, puis demande un nouveau manifeste Cryptex1Image4 au service de signature Apple. Le système de fichiers racine n’est pas modifié. ...

🔍 Contexte Article publié le 24 mars 2026 sur le blog personnel de l’analyste 7amthereaper. Il s’agit d’une analyse technique complète et d’un reverse engineering du malware Brbbot, présenté comme un trojan/bot pouvant également fonctionner comme backdoor. 🧬 Identification du sample Le sample analysé est identifié par le hash SHA256 : f9227a44ea25a7ee8148e2d0532b14bb640f6dc52cb5b22a9f4fa7fa037417fa. ⚙️ Comportements observés L’analyse statique et dynamique révèle les comportements suivants : Persistance : modification de la clé de registre \Microsoft\Windows\CurrentVersion\Run avec la valeur brbbot Fichier de configuration chiffré : dépôt d’un fichier brbbotconfig.tmp sur le disque, chiffré avec la clé YnJiYm90 Chiffrement : utilisation de l’API Windows CryptDecrypt pour déchiffrer la configuration Énumération des processus : via ZwQuerySystemInformation résolu dynamiquement (Dynamic API Resolution) depuis ntdll.dll Communication C2 : requêtes HTTP vers brb.3dtuts.by ciblant le fichier ads.php, avec exfiltration de données chiffrées par XOR avec la clé 0x5b 📋 Commandes bot identifiées La configuration déchiffrée révèle les commandes suivantes : ...

Source: Elastic Security Labs. Elastic Security Labs annonce nightMARE v0.16, une bibliothèque Python open source dédiée à l’analyse de malwares et au reverse engineering, accompagnée d’un tutoriel détaillé pour construire un extracteur de configuration du stealer LUMMA. 🛠️ nightMARE v0.16 s’appuie sur le framework Rizin (via rz-pipe) pour le désassemblage et l’analyse, unifiant en un seul socle des capacités auparavant réparties sur plusieurs dépendances (remplacement de LIEF, Capstone, SMDA). Le module propose de l’analyse statique, de l’émulation d’instructions, et des implémentations d’algorithmes spécifiques aux malwares. ...

L’article publié par Consulenza IS Group met en lumière une attaque de cybersécurité survenue à Bologne durant l’été 2023. Un cybercriminel a réussi à contourner l’authentification BLE (Bluetooth Low Energy) des vélos en libre-service de la ville. En utilisant des techniques de reverse engineering, il a créé une application pirate nommée Ride’n Godi. Cette application a été mise à disposition du public avec le code source et les identifiants de déverrouillage des vélos, permettant à quiconque de les utiliser sans autorisation. ...