Rétro-Ingénierie de Logiciels Malveillants (RILM)

Rappels sur les bonnes pratiques d’investigation numérique

Présentation des différentes familles de malwares

Vecteurs d’infection​

Mécanisme de persistance et de propagation

Laboratoire virtuel vs. physique

• Avantages de la virtualisation
• Solutions de virtualisation

Ségrégation des réseaux

• Réseaux virtuels et réseaux partagés
• Confinement des machines virtuelles
• Précautions et bonnes pratiques

Supervision de l’activité d’une machine Réseau

• Système de fichiers
• Registre
• Service

Initiation à l’analyse comportementale Variété des systèmes

Mise en place d’un écosystème d’analyse comportementale

• Configuration de l’écosystème
• Définition des configurations types
• Virtualisation des machines invitées
  • VmWare
  • Virtualbox

Installation de CAPEV2/ Virtualbox

Mise en pratique

• Soumission d’un malware
• Déroulement de l’analyse
• Analyse des résultats et mise en forme

Amélioration via API

• Possibilités de développement et améliorations

Analyse statique de logiciels malveillants

• Prérequis
  • Assembleur
  • Architecture
  • Mécanismes anti-analyse
• Outils d’investigation
  • IDA
• Utilisation d’IDA
  • Méthodologie
• Analyse statique de code
• Analyse de flux d’exécution
• Mécanismes d’anti-analyse
  • Packing/protection (chiffrement de code/imports, anti-désassemblage)
  • Machine virtuelle
  • Chiffrement de données
• Travaux pratiques
  • Analyse statique de différents malwares

Analyse dynamique de logiciels malveillants

• Précautions
  • Intervention en machine virtuelle
  • Configuration réseau
• Outils d’analyse
  • OllyDbg
  • ImmunityDebugger
• Analyse sous débogueur
  • Step into/Step over
  • Points d’arrêts logiciels et matériels
  • Fonctions systèmes à surveiller
  • Génération pseudo-aléatoire de noms de domaines (C&C)
  • Bonnes pratiques d’analyse
• Mécanismes d’anti-analyse
  • Détection de débogueur
• Détection d’outils de rétro-ingénierie
• Exploitation de failles système

Analyse de documents malveillants

• Fichiers PDF
  • Introduction au format PDF
  • Spécificités
  • Intégration de JavaScript et possibilités
  • Exemples de PDF malveillants
  • Outils d’analyse : OLE Tools, éditeur hexadécimal
  • Extraction de la charge
  • Analyse de la charge
• Fichiers Office (DOC)
  • Introduction au format DOC/DOCX
  • Spécificités
  • Macros
  • Objets Linking and Embedding (OLE)
  • Outils d’analyse : OLE Tools, éditeur hexadécimal
  • Extraction de code malveillant
  • Analyse de la charge
• Fichiers APK
  • Introduction au format apk
  • Outils d’analyse : jadx, Frida, genymotion, mobsf
  • Contournement de protection d’émulation
  • Compréhension du fonctionnement