Malwares: détection, identification et éradication

Apprenez à connaître les malwares, leurs grandes familles, à les identifier et les éradiquer!

Malwares: détection, identification et éradication

Cette formation permettra de comprendre le fonctionnement des malwares, de les identifier et de les éradiquer proprement, en assurant la pérennité des données présentes sur le S.I.

Des bonnes pratiques et outils adaptés sont abordés tout au long de la formation, et mis en pratique sur les machines compromises, lors des travaux dirigés.

Objectifs

  • Connaitre les différents malwares
  • Identifier un malware
  • Mettre en œuvre des contre-mesures adéquates
S'inscrire à cette formation
  • Informations générales

    • Code: MDIE
    • Durée: 3 jours
    • Prix: 2150 € HT
    • Horaires : 9h30 - 17h30
    • Lieu : Levallois-Perret (92)

  • Prochaines dates

    Formations : 18 juin 2018 , 15 oct. 2018

  • Public visé

    • Responsables gestion incident
    • Techniciens réponse incident
    • Auditeurs techniques, Analystes de sécurité
  • Pré-requis

    • Connaissances du Système Microsoft Windows
  • Ressources

    • Support de cours
    • 50% d’exercices pratiques
    • 1 PC par personne / Internet
  • Formations associées

Programme

Jour 1

Introduction aux malwares: origines et évolution
  • Les premiers virus
  • Ce qu’Internet a changé
  • Etat des lieux aujourd’hui
    • Virus
    • Vers
    • Cheval de Troie
    • RAT
    • Ransomware

Vecteurs d’infection et de propagation

  • Courrier électronique
    • Pièces jointes piégées
    • Liens piégés
    • Attaques ciblées
    • Etude de cas
  • Partage de fichiers
    • Partages Windows
    • FTP
    • P2P
  • Exploitation de vulnérabilités
    • psexec
    • MS08-067
    • MS17-010
  • Périphériques de stockage
    • Clés de registres « autorun »
    • Détournement d’exécutables
    • Installeurs malveillants
  • Attaques physiques
    • USB HID
    • Attaques « Evil Maid »
    • Vulnérabilités sur les composants matériels
  • Ingénierie sociale
    • Recrutement des victimes : l’exemple de Popcorn Time
    • Faux antivirus
    • Fausses amendes

Jour 2

Techniques de persistance
  • En mémoire
    • Injection de DLL
    • Image hijacking
    • Interception d’appel système
  • Contamination de fichiers
    • Détournement d’exécutables
    • Macros Office
    • Raccourcis
    • Fichiers PDF
  • Lancement au démarrage
    • Service système
    • Tâche planifiée
    • Clés de registre
    • Dossier démarrage
    • Pilotes
Détection de la présence d’un malware
  • Symptômes
    • Performances en baisse
    • Dysfonctionnements
    • Comportements inhabituels
    • Utilisation des ressources
    • Alertes de l’antivirus
    • Fuites d’information
  • Antivirus
    • Protection en temps réel
    • Analyses régulières
    • Limites
  • IDS
    • Pare-feu
    • Contrôle d’intégrité Tripwire
    • Anti-rootkit

Jour 3

Analyse et identification du malware
  • Identification du binaire
    • Reconnaître les fonctionnalités principales (table des imports)
    • Packing et unpacking (UPX)
    • Outils : LordPE / Dependency walker / PE Explorer
  • Profil réseau
    • Wireshark
    • TCPview
  • Profil système
    • Système de fichiers : FileMon
    • Registre : RegMon
    • Processus : ProcessExplorer
  • Plateformes d’analyses en ligne
    • VirusTotal
    • NoDistribute
    • Malwr
  • Sandboxing
    • Cuckoo
Neutralisation
  • Evaluation des dommages
    • Création d’un indicateur de compromission
    • Identification des postes compromis : Nessus, IoC
  • Préparation à l’analyse inforensique
    • Evaluation à la menace
    • Limiter la propagation et isoler les actifs compromis
    • Les préparer pour l’acquisition inforensique (préservation des preuves)
  • Suppression du malware
    • Mise en quarantaine du poste
    • Suppression des fichiers du logiciel malveillant
    • Restauration dans un état sain
  • Suivi d’incident
    • Correction du vecteur d’intrusion
  • Mesures proactives (sécurisation, sensibilisation, organisationnel)