conférences

BSides Paris 2024

Unplugging PlugX - Sinkholing the PlugX USB worm botnet

Par Félix Aimé et Charles Meslay

* En mars 2023, Sophos a publié un article intitulé sur un ver USB, une variante de PlugX. En septembre 2023, pour le prix d’un kébab j’ai pris possession de son serveur de contrôle. À ce jour, ~1,6 Millions adresses IP uniques ont envoyé des requêtes distinctes de PlugX à mon serveur.

* Même si le botnet peut être considéré comme « mort », quiconque disposant de capacités d’interception ou prenant le contrôle de ce serveur peut envoyer des commandes arbitraires aux ordinateurs infectés, réutilisant le botnet pour des activités malveillantes.

* Cette conférence vise à expliquer les origines de cette campagne, ma méthodologie pour prendre le contrôle de son serveur, les détails internes de PlugX avec un peu de rétro-ingénierie et le concept de désinfection souveraine.

* Car l’idée finale, c’est de désinfecter les PCs infectés.

Félix Aimé

Je suis chercheur en Threat Intelligence et cybersécurité, passionné par la géopolitique et la sécurité technique. Après avoir été pentester pour BT, j’ai co-fondé en 2013 les capacités de Threat Intelligence de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) en travaillant avec une équipe multidisciplinaire dédiée à enquêter sur les acteurs de menaces menant des opérations d’espionnage.

En 2017, j’ai rejoint l’équipe de GReAT de Kaspersky pour travailler sur des campagnes d’espionnage de la cybercriminalité hautement sophistiquée. En 2021, j’ai poussé la porte de SEKOIA.IO pour augmenter leurs capacités de renseignement sur les menaces avec des cours et des ateliers de formation internes, le développement de logiciels sur mesure, et différentes investigations, dont celle-ci.

Charles Meslay

Charles Meslay est analyste pour Sekoia.io depuis mai 2022 et lead du chapitre Reverse Engineering. Son travail consiste à enquêter et à analyser des échantillons liés à des menaces parrainées par l’État.

Il a auparavant travaillé pendant 11 ans comme analyste de sécurité pour Amossys, une société française.

talks

Notre équipe

Gabriel Marquet
Ferdinand Boas
Jorge de Almeida Pinto
Big thanks

Nos sponsors 2024

L’organisation de cette première édition du BSides Paris serait impossible sans le soutien de nos partenaires.

Vous êtes un acteur du monde de la cybersécurité et souhaitez sponsoriser l’événement BSides Paris ? Contactez-nous !