Vous êtes ici :

Formation Rétro-Ingénierie de Logiciels Malveillants

A distance ou en présentiel

Avancé

Lorsqu’un malware est détecté dans un système informatique, les responsables sécurité doivent en connaître le fonctionnement pour mieux contrer ses effets. Dans cette formation Rétro-ingénierie Malwares, les participants découvriront les méthodes et les outils utilisés en reverse engineering, stratégie d’analyse de malware.

Le cours vous préparera à la réalisation d’investigations dans le cadre d’attaques réalisées via des logiciels malveillantes, de la mise en place d’un laboratoire d’analyse comportementale à l’extraction et au désassemblage de code malveillant.

À qui s'adresse cette formation ?

Ce cours Rétro-ingénierie Malwares s’adresse aux techniciens en réponse incident, aux analystes techniques et aux experts en sécurité.

Pour suivre cette formation Rétro-ingénierie Malwares, il est nécesaire de disposer d’une solide connaissance du système Microsoft Windows. Vous devez également maîtriser le langage assembleur 32 et 64 bits ainsi que l’architecture 32 et 64 bits Intel.

La formation Malwares : détection, identification et éradication (AMLF) constitue le prérequis idéal.

Les objectifs de la formation

Objectif opérationnel :

Savoir créer un laboratoire d’analyse de malwares et en comprendre le fonctionnement en plongeant dans le code.

Objectifs pédagogiques :

À l’issue de cette formation Rétro-ingénierie Malwares, vous aurez acquis les connaissances et compétences nécessaires pour :

  • Mettre en place un laboratoire d’analyse de logiciels malveillants
  • Savoir étudier le comportement de logiciels malveillants
  • Analyser et comprendre le fonctionnement de logiciels malveillants
  • Détecter et contourner les techniques d’autoprotection
  • Analyser des documents malveillants

Contenu de la formation

  • Rappels sur les bonnes pratiques d’investigation numérique

  • Présentation des différentes familles de malwares

  • Vecteurs d’infection

  • Mécanisme de persistance et de propagation

  • Laboratoire virtuel vs. physique

    • Avantages de la virtualisation
    • Solutions de virtualisation
  • Surveillance de l’activité d’une machine

    • Réseau
    • Système de fichiers
    • Registre
    • Service
  • Ségrégation des réseaux

    • Réseaux virtuels et réseaux partagés
    • Confinement des machines virtuelles
    • Précautions et bonnes pratiques
  • Variété des systèmes

  • Services usuels

    • Partage de fichiers
    • Services IRC (C&C)
  • Licensing

    • Importance des licences
  • Mise en place d’un écosystème d’analyse comportementale

    • Configuration de l’écosystème
    • Définition des configurations types
    • Virtualisation des machines invitées :
      – VmWare ESXi
      – Virtualbox Server
  • Installation de Cuckoo/Virtualbox

  • Amélioration via API

    • Possibilités de développement et améliorations
  • Analyse statique de logiciels malveillants

    • Prérequis :
      – Assembleur
      – Architecture
      – Mécanismes anti-analyse
    • Outils d’investigation :
      – IDA Pro
    • Utilisation d’IDA Pro :
      – Méthodologie
      – Analyse statique de code
      – Analyse de flux d’exécution
    • Mécanismes d’anti-analyse :
      – Packing/protection (chiffrement de code/imports, anti-désassemblage)
      – Machine virtuelle
      – Chiffrement de données
  • Analyse dynamique de logiciels malveillants

    • Précautions :
      – Intervention en machine virtuelle
      – Configuration réseau
    • Outils d’analyse :
      – OllyDbg
      – ImmunityDebugger
      – Zim
    • Analyse sous débogueur :
      – Step into/Step over
      – Points d’arrêts logiciels et matériels
      – Fonctions systèmes à surveiller
      – Génération pseudo-aléatoire de noms de de domaines (C&C)
      – Bonnes pratiques d’analyse
    • Mécanismes d’anti-analyse :
      – Détection de débogueur
      – Détection d’outils de rétro-ingénierie
      – Exploitation de failles système
  • Analyse de documents malveillants

    • Fichiers PDFs :
      – Introduction au format PDF
      – Spécificités
      – Intégration de JavaScript et possibilités
      – Exemples de PDFs malveillants
      – Outils d’analyse: Origami, Editeur hexadécimal
      – Extraction de charge
      – Analyse de charge
    • Fichiers Office (DOC) :
      – Introduction au format DOC/DOCX
      – Spécificités
      – Macros
      – Objets Linking and Embedding (OLE)
      – Outils d’analyse: Oledump, Editeur hexadécimal
      – Extraction de code malveillant
      – Analyse de la charge
    • Fichiers HTML malveillants :
      – Introduction au format HTML
      – Code JavaScript intégré
      – Identification de code JavaScript malveillant
      – Outils d’analyse: éditeur de texte
      – Désobfuscation de code
      – Analyse de charge

Formation

A distance ou en présentiel

Référence :

AMRE

Durée :

5 jours

Ce cours est réalisable en intra-entreprise, en extra-entreprise , dans nos salles ou à distance.

Contacter notre service Intra