Trouver et neutraliser l'attaquant


Nous identifions pour vous si votre Système d'Information est compromis. Un système de détection sans signature reconnaissant des comportements suspects permet de découvrir des attaques encore inconnues.

En savoir plus

Trouvez l'attaquant !


Au cours de ces dernières années le nombre d’attaques informatiques a connu une très forte augmentation, ciblant aussi bien les gouvernements que les sociétés privées. La complexité de ces attaques a également progressé significativement, et ce quel que soit le type de cible. Les attaques et les modes opératoires à l’état de l’art actuel (souvent nommées APT) montrent qu’un attaquant peut investir un SI et y rester actif pendant des années sans pour autant être détecté. Dans ce contexte de menace informatique actuel, il est recommandé pour toute entité soucieuse de sa sécurité d’être proactive et de rechercher une éventuelle compromission avant même d’avoir la preuve que celle-ci existe.

Notre activité porte donc uniquement sur le contre-espionnage informatique. L'objectif est d'identifier une compromission encore inconnue et persistante sur un système d'information.

Pour répondre à ces risques nous proposons deux services :

  • L'un ponctuel : la recherche de compromission
  • L'autre qui analyse les événements système : le monitoring du SI

Les services

Nos services


Recherche de compromission

Nous analysons en profondeur votre SI pour identifier un attaquant.

En savoir plus

Réponse à incident

Nos experts vous aident à répondre et contextualiser une attaque déjà identifiée ou suspectée.

En savoir plus

Monitoring du SI

Nous analysons l'activité de votre SI pour trouver des comportements suspects.

Formation

Bénéficiez de notre expertise Windows avec trois formations sur les sujets Windows Internal et Analyse de malwares. Voir le catalogue

Fondé par des opérationnels


Stéfan LE BERRE

  • A été expert à L’ANSSI dans les domaines de la réponse à incidents et de l'analyse de codes malveillants

  • Orateur dans de nombreuses conférences nationales

  • Récente analyse de la dernière version du Rootkit Uruburos

  • Découvertes de plusieurs vulnérabilités dans le noyau Windows

  • Plus de 10 ans d'expérience professionnelle

    Pratique la rétro-ingénierie depuis 15 ans

Clément ROUAULT

  • Orateur dans plusieurs conférences internationales

  • A publié sur l'analyse du fonctionnement et technique d'infection de Win32/Aibatook

  • Découverte récente d'une vulnérabilité dans le noyau Windows

  • Conférence : "A view into ALPC-RPC"

  • Pratique la rétro-ingénierie depuis 6 ans


Nos Publications

NTFS #0day in MFT parsing!

Publication d'une vulnérabilité que nous avons découverte (et remontée), elle concerne un integer overflow pouvant être déclenché en montant une clé USB et provoquant donc un BSOD. La vulnérabilité concerne NTFS et plus précisément dans son cœur, la MFT (Master File Table).

From tweet to rootkit

Nos analyses depuis un poste sur twitter de Florian Roth qui nous a mené à identifier (et analyser) un rootkit signé, dont le certificat n’est pas encore révoqué et qui est inconnu de VirusTotal. Dans cette version publique nous vous présentons une partie de nos analyses sur l’un des deux dumps.


Sysmon Internals

Sysmon est l'un des outils "SysInternals", il permet de tracer une partie de l'activité d'une machine et la journalise dans des journaux d'événements. Nous présentons comment fonctionne Sysmon en interne, c'est à dire comment il intercepte l'activité du système. Une analyse de l'exécutable et du driver sont faites afin de comprendre ses différentes méthodes d'interception et de journalisation. Dans un deuxième temps plusieurs règles d'identification de codes malveillants sont présentées et un retour d'expérience sur l'application du "deep learning" à ces données.

ETW for the lazy reverser

ETW (Event Tracing for Windows) permet de tracer des évènement internes de Windows. Nous présentons le fonctionnement, l'utilité et les possibilités proposées par ce système.

Solution du challenge « re_crypto » #NDH16

Pour cette édition ExaTrack a développé une épreuve de reverse engineering / crypto. Nous publions une solution possible pour résoudre cette épreuve, qui n'a malheureusement pas trouvé de validation sur place.

From corrupted memory dump to rootkit detection

Dans cette présentation nous expliquons qu'il est difficile d'obtenir une image mémoire propre d'un système quand celle-ci est faite à chaud, mais explorons des pistes pour réussir à travailler sur un dump corrompu. Après un rapide survol du format de crash-dump de Windows nous étudions la pagination mémoire et les cas particuliers spécifiques à Windows. Une fois que nous réussissons à lire l'espace mémoire virtuel nous explorons quelques structures importantes de Windows pour mener les débuts d'une investigation. Nous passons ensuite à des méthodes génériques pour identifier la présence d'un code malveillant en noyau et l'appliquons sur deux rootkits utilisés lors d'APT.


Please COM again

Nous présentons des outils et techniques pour analyser des codes malveillants utilisant la technologie COM de Microsoft. Un cas concret est présenté avec un malware intrumentant Internet Explorer pour modifier les pages affichées afin de voler des informations bancaires.

Hey Uroburos! What's up ?

Uroburos est un malware/APT, détecté en 2014, qui avait fait couler beaucoup d’encre dans le monde de la sécurité informatique. Il s'est distingué des autres par son driver 64b (rootkit) pour Windows, avec un bypass de PatchGuard. Nous avons identifié un code Uroburos/Turla datant de 2017. Après vérification le driver s’est révélé être une évolution de celui utilisé en 2014. Par doute nous avons creusé un peu ce nouveau driver et nous sommes rendu compte qu'il avait de sérieuses différences avec l'original, tout en gardant une même base. Nous présenterons donc ici une analyse de ce rootkit 64 bit.

Contactez nous !


Pour plus d'informations sur l'un de nos services n'hésitez pas à nous contacter, nous vous détaillerons nos activités avec plaisir.

contact [at] exatrack [dot] com