conférences
BSides Paris 2024
- 4 avril 2024
- 14h50
- Auditorium
Unplugging PlugX - Sinkholing the PlugX USB worm botnet
Par Félix Aimé et Charles Meslay
* En mars 2023, Sophos a publié un article intitulé sur un ver USB, une variante de PlugX. En septembre 2023, pour le prix d’un kébab j’ai pris possession de son serveur de contrôle. À ce jour, ~1,6 Millions adresses IP uniques ont envoyé des requêtes distinctes de PlugX à mon serveur.
* Même si le botnet peut être considéré comme « mort », quiconque disposant de capacités d’interception ou prenant le contrôle de ce serveur peut envoyer des commandes arbitraires aux ordinateurs infectés, réutilisant le botnet pour des activités malveillantes.
* Cette conférence vise à expliquer les origines de cette campagne, ma méthodologie pour prendre le contrôle de son serveur, les détails internes de PlugX avec un peu de rétro-ingénierie et le concept de désinfection souveraine.
* Car l’idée finale, c’est de désinfecter les PCs infectés.
Félix Aimé
Je suis chercheur en Threat Intelligence et cybersécurité, passionné par la géopolitique et la sécurité technique. Après avoir été pentester pour BT, j’ai co-fondé en 2013 les capacités de Threat Intelligence de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) en travaillant avec une équipe multidisciplinaire dédiée à enquêter sur les acteurs de menaces menant des opérations d’espionnage.
En 2017, j’ai rejoint l’équipe de GReAT de Kaspersky pour travailler sur des campagnes d’espionnage de la cybercriminalité hautement sophistiquée. En 2021, j’ai poussé la porte de SEKOIA.IO pour augmenter leurs capacités de renseignement sur les menaces avec des cours et des ateliers de formation internes, le développement de logiciels sur mesure, et différentes investigations, dont celle-ci.
Charles Meslay
Charles Meslay est analyste pour Sekoia.io depuis mai 2022 et lead du chapitre Reverse Engineering. Son travail consiste à enquêter et à analyser des échantillons liés à des menaces parrainées par l’État.
Il a auparavant travaillé pendant 11 ans comme analyste de sécurité pour Amossys, une société française.
Big thanks
Nos sponsors 2024
L’organisation de cette première édition du BSides Paris serait impossible sans le soutien de nos partenaires.
Vous êtes un acteur du monde de la cybersécurité et souhaitez sponsoriser l’événement BSides Paris ? Contactez-nous !