Symposium sur la sécurité des technologies de l'information et des communications

Conférence francophone sur le thème de la sécurité de l'information.
Elle se déroulera à Rennes du 5 au 7 juin 2024.

Détection de Powershell malveillant par normalisation sémantiqueSylvain Peyrefitte


Date : 07 June 2024 à 14:45 — 15 min.

Malgré le fait que Powershell existe depuis maintenant 17 ans et qu’il soit très utilisé par des acteurs malveillants, la détection de Powershell reste un défi pour les équipes de détection avec presque peu d’outils de désobfuscation ou de papier sur le sujet. Cette présentation retrace notre pierre à l’édifice avec nos différentes démarches et nos outils (qui seront rendu public juste avant la présentation à SSTIC) mises en œuvre au sein de l’équipe du CERT d’Airbus afin d’améliorer notre détection, avec pour principaux objectifs de couvrir toujours plus de schémas malveillants en réduisant le nombre de faux positifs.