Framestock - stock.adobe.com

Actualites

BeaconBeagle : une plateforme gratuite de suivi des balises et des serveurs Cobalt Strike

Olivier Ferrand vient d’ouvrir BeaconBeagle, une plateforme gratuite permettant de suivre les serveurs de commande et de contrôle Cobalt Strike, ainsi que les balises. De quoi améliorer sa protection contre les cyberattaques.

Valéry Rieß-Marchive
par
Publié le: 05 janv. 2026

« Cobalt Strike reste l’un des outils les plus couramment utilisés par les acteurs malveillants. Lorsque des incidents surviennent, la partie difficile est rarement de “trouver un indicateur” ; il s’agit de comprendre comment il se connecte à d’autres activités, à quel point il est récent, et ce qu’il implique pour la détection et la réponse ».

C’est ainsi qu’Olivier Ferrand, analyste malware senior, présente son tout nouveau service en ligne, BeaconBeagle. Et d’expliquer la vocation de celui-ci : aider à « réduire ce temps de mise en contexte ». Mais l’application de ce service ne se limite pas à gérer l’après d’incidents de cybersécurité.

Comme l’explique ce contributeur du projet RansomLook – et d’autres projets en sources ouvertes, dont Witha.name qui suit la configuration de l’infrastructure de DDoS de NoName057(16) –, BeaconBeagle peut aider à la détection des menaces ainsi qu’à leur chasse.

Ainsi, ce service gratuit, utilisant l’API du Français Onyphe, peut aider à « identifier les traits récurrents à travers les campagnes (patrons URI, conventions hôtes, usage des protocoles/ports) et les traduire en détections proxy, DNS, EDR et SIEM », mais aussi à « suivre l’évolution des configurations au fil du temps afin de maintenir les détections à jour et d’éviter des règles obsolètes ». Ça, c’est pour le volet détection.

Côté chasse aux menaces, BeaconBeagle permet de « partir d’une seule IP hôte de balise ou C2 et pivoter vers les configurations et infrastructures associées en quelques clics ». De là, l’outil permet de conduire des opérations de regroupement « en utilisant des caractéristiques stables pour étendre rapidement une chasse au-delà de l’ensemble initial des indicateurs ».

Pourquoi un tel service pourrait-il être gratuit ? Olivier Ferrand estime que « des outils communautaires abaissent la barrière d’entrée pour les petits SOC et CERT, améliorent la compréhension partagée et aident chacun à converger vers de meilleures pratiques de détection et de réponse ».

Et justement, ajoute-t-il, « lorsque les défenseurs peuvent valider, pivoter et apprendre à partir de données réelles sans verrouillage de fournisseurs, l’ensemble de l’écosystème devient plus résilient ».

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)