Détection de Powershell malveillant par normalisation sémantique — Sylvain Peyrefitte
Date : 07 June 2024 à 14:45 — 15 min.
Malgré le fait que Powershell existe depuis maintenant 17 ans et qu’il soit très utilisé par des acteurs malveillants, la détection de Powershell reste un défi pour les équipes de détection avec presque peu d’outils de désobfuscation ou de papier sur le sujet. Cette présentation retrace notre pierre à l’édifice avec nos différentes démarches et nos outils (qui seront rendu public juste avant la présentation à SSTIC) mises en œuvre au sein de l’équipe du CERT d’Airbus afin d’améliorer notre détection, avec pour principaux objectifs de couvrir toujours plus de schémas malveillants en réduisant le nombre de faux positifs.