Rétro-Ingénierie de Logiciels Malfaisants

Créez votre laboratoire d’analyse de malwares et comprenez leur fonctionnement en plongeant dans leur code

Cette formation prépare à la réalisation d’investigations dans le cadre d’attaque réalisée via des logiciels malveillants, de la mise en place d’un laboratoire d’analyse comportementale à l’extraction et au désassemblage de code malveillant.

Objectifs

  • Mettre en place un laboratoire d’analyse de logiciels malveillants
  • Savoir étudier le comportement de logiciels malveillants
  • Analyser et comprendre le fonctionnement de logiciels malveillants
  • Détecter et contourner les techniques d’autoprotection
  • Analyser des documents malveillants
S'inscrire à cette formation
  • Informations générales

    • Code: RILM
    • Durée: 5 jours
    • Prix: 3400 € HT
    • Horaires : 9h30 - 17h30
    • Lieu : Levallois-Perret (92)

  • Prochaines dates

    Formations : 4 déc. 2017 , 11 juin 2018 , 3 déc. 2018

  • Public visé

    • Techniciens réponse incident
    • Analystes techniques
    • Experts sécurité
  • Pré-requis

    • Connaissance du système Microsoft Windows
    • Maîtrise du langage assembleur 32 et 64 bits
    • Maîtrise de l’architecture 32 et 64 bits Intel
  • Ressources

    • Support de cours
    • 70% d’exercices pratiques
    • 1 PC par personne / Internet
    • Clé USB 32 Go fournie et offerte

Programme

Jour 1

Rappels sur les bonnes pratiques d’investigation numérique
Présentation des différentes familles de malwares
Vecteurs d’infection
Mécanisme de persistance et de propagation
Laboratoire virtuel vs. physique
  • Avantages de la virtualisation
  • Solutions de virtualisation
Surveillance de l’activité d’une machine
  • Réseau
  • Système de fichiers
  • Registre
  • Service
Ségrégation des réseaux
  • Réseaux virtuels et réseaux partagés
  • Confinement des machines virtuelles
  • Précautions et bonnes pratiques
Variété des systèmes
Services usuels
  • Partage de fichiers
  • Services IRC (C&C)
Licensing
  • Importance des licences

Jour 2

Mise en place d’un écosystème d’analyse comportementale
  • Configuration de l’écosystème
  • Définition des configurations types
  • Virtualisation des machines invitées
    • VmWare ESXi
    • Virtualbox Server
Installation de Cuckoo/Virtualbox
Mise en pratique
  • Soumission d’un malware
  • Déroulement de l’analyse
  • Analyse des résultats et mise en forme
Amélioration via API
  • Possibilités de développement et améliorations

Jour 3

Analyse statique de logiciels malveillants
  • Prérequis
    • Assembleur
    • Architecture
    • Mécanismes anti-analyse
  • Outils d’investigation
    • IDA Pro
  • Utilisation d’IDA Pro
    • Méthodologie
    • Analyse statique de code
    • Analyse de flux d’exécution
  • Mécanismes d’anti-analyse
    • Packing/protection (chiffrement de code/imports, anti-désassemblage)
    • Machine virtuelle
    • Chiffrement de données
  • Travaux pratiques
    • Analyse statique de différents malwares

Jour 4

Analyse dynamique de logiciels malveillants
  • Précautions
    • Intervention en machine virtuelle
    • Configuration réseau
  • Outils d’analyse
    • OllyDbg
    • ImmunityDebugger
    • Zim
  • Analyse sous débogueur
    • Step into/Step over
    • Points d’arrêts logiciels et matériels
    • Fonctions systèmes à surveiller
    • Génération pseudo-aléatoire de noms de de domaines (C&C)
    • Bonnes pratiques d’analyse
  • Mécanismes d’anti-analyse
    • Détection de débogueur
    • Détection d’outils de rétro-ingénierie
    • Exploitation de failles système

Jour 5

Analyse de documents malveillants
  • Fichiers PDFs
    • Introduction au format PDF
    • Spécificités
    • Intégration de JavaScript et possibilités
    • Exemples de PDFs malveillants
    • Outils d’analyse: Origami, Editeur hexadécimal
    • Extraction de charge
    • Analyse de charge
  • Fichiers Office (DOC)
    • Introduction au format DOC/DOCX
    • Spécificités
    • Macros
    • Objets Linking and Embedding (OLE)
    • Outils d’analyse: Oledump, Editeur hexadécimal
    • Extraction de code malveillant
    • Analyse de la charge
  • Fichiers HTML malveillants
    • Introduction au format HTML
    • Code JavaScript intégré
    • Identification de code JavaScript malveillant
    • Outils d’analyse: Editeur de texte
    • Désobfuscation de code
    • Analyse de charge