Zandoli : cartographier un réseau d’entreprise sans alerter personne (Red Team, furtivité et réalité terrain)
10-17, 18:00–18:50 (America/New_York), Track 1 (206b)
Language: Français

Zandoli est un outil de reconnaissance réseau conçu pour les pentests internes en environnement contraint. Développé spécifiquement pour les phases silencieuses d’une mission Red Team, il permet de cartographier les hôtes, détecter les services exposés, extraire les VLANs, profiler les machines et identifier des anomalies, le tout sans générer de trafic suspect. À la croisée des chemins entre analyse passive (LLDP, DHCP, CDP, 802.1X, ARP…) et scan actif furtif (ARP unicast avec jitter, détection de sous-réseaux dormants), Zandoli vise une seule chose : montrer aux défenseurs ce qu’un attaquant voit... avant toute élévation de privilège. Ce talk montrera, démonstration vidéo à l’appui, comment une simple machine Linux sans élévation de droits suffit à reconstituer une vue critique d’un réseau d’entreprise. La session s’adresse à un public technique (Blue/Red) mais aussi aux architectes et RSSI curieux de visualiser leur exposition réelle.

Introduction
– Pourquoi la reconnaissance interne reste sous-estimée
– Objectif du talk : montrer la valeur d’un outil passif+furtif pour les équipes Red Team et Blue Team

Genèse de Zandoli
– Outil open-source développé après plusieurs missions internes
– Besoin d'un outil "post-compromission" sans EDR trigger

Architecture technique
– Go, pcap, gopacket, analyse passive multi-protocole
– Export structuré JSON, classification automatique, détection d’anomalies

Démonstration vidéo
– Scénario réel simulé : VLAN détecté, services DNS internes, 802.1X en place, anomalies d’adressage, ports ARP non documentés
– Détection des rôles réseau sans avoir à "toucher" les machines

Stratégies de furtivité
– ARP unicast, burst limité, délai aléatoire, aucun broadcast, aucun port scan
– Simulation d’un comportement “normal” sur le réseau

Retour d’expérience

Conclusion et perspectives

Are you releasing a tool? – yes
Nomed Jonathan

Je suis pentester offensif spécialisé en reconnaissance réseau furtive. J’ai développé Zandoli, un outil open-source en Go qui permet de cartographier un réseau sans déclencher d’alerte. Mon objectif : reproduire fidèlement ce qu’un attaquant voit dès les premières minutes d’une compromission. J’ai présenté à BSides sur les jeux vidéo et la cybersécurité. En dehors des audits et du code, je m’entraîne comme si chaque mission comptait vraiment.