Une formation sur mesure ?

Devis immédiat

Nos clients

logos clients Nativo formation
Formations inter / intra entreprise
Revenir aux formations Hacking et sécurité

Formation Rétro-Ingénierie de Logiciels Malveillants

Ref. RILM

durée

5 jours

Tarif

3290€ ht

Toutes les dates

Objectifs

  • Mettre en place un laboratoire d’analyse de logiciels malveillants
  • Savoir étudier le comportement de logiciels malveillants
  • Analyser et comprendre le fonctionnement de logiciels malveillants
  • Détecter et contourner les techniques d’autoprotection
  • Analyser des documents malveillants

Public

  • Techniciens réponse incident
  • Analystes techniques
  • Experts sécurité

Prérequis

  • Connaissance du système Microsoft Windows
  • Maîtrise du langage assembleur 32 et 64 bits
  • Maîtrise de l’architecture 32 et 64 bits Intel

Programme

Jour 1

Rappels sur les bonnes pratiques d’investigation numérique

Présentation des différentes familles de malwares

Vecteurs d’infection

Mécanisme de persistance et de propagation

Laboratoire virtuel vs. physique

  • Avantages de la virtualisation
  • Solutions de virtualisation

Surveillance de l’activité d’une machine

  • Réseau
  • Système de fichiers
  • Registre
  • Service

Ségrégation des réseaux

  • Réseaux virtuels et réseaux partagés
  • Confinement des machines virtuelles
  • Précautions et bonnes pratiques

Variété des systèmes

Services usuels

  • Partage de fichiers
  • Services IRC (C&C)

Licensing

  • Importance des licences

Jour 2

Mise en place d’un écosystème d’analyse comportementale

  • Configuration de l’écosystème
  • Définition des configurations types
  • Virtualisation des machines invitées
  • VmWare ESXi
  • Virtualbox Server

Installation de Cuckoo/Virtualbox

Mise en pratique

  • Soumission d’un malware
  • Déroulement de l’analyse
  • Analyse des résultats et mise en forme

Amélioration via API

  • Possibilités de développement et améliorations

Jour 3

Analyse statique de logiciels malveillants

  • Prérequis
  • Assembleur
  • Architecture
  • Mécanismes anti-analyse
  • Outils d’investigation
  • IDA Pro
  • Utilisation d’IDA Pro
  • Méthodologie
  • Analyse statique de code
  • Analyse de flux d’exécution
  • Mécanismes d’anti-analyse
  • Packing/protection (chiffrement de code/imports, anti-désassemblage)
  • Machine virtuelle
  • Chiffrement de données
  • Travaux pratiques
  • Analyse statique de différents malwares

Jour 4

Analyse dynamique de logiciels malveillants

  • Précautions
  • Intervention en machine virtuelle
  • Configuration réseau
  • Outils d’analyse
  • OllyDbg
  • ImmunityDebugger
  • Zim
  • Analyse sous débogueur
  • Step into/Step over
  • Points d’arrêts logiciels et matériels
  • Fonctions systèmes à surveiller
  • Génération pseudo-aléatoire de noms de de domaines (C&C)
  • Bonnes pratiques d’analyse
  • Mécanismes d’anti-analyse
  • Détection de débogueur
  • Détection d’outils de rétro-ingénierie
  • Exploitation de failles système

Jour 5

Analyse de documents malveillants

  • Fichiers PDFs
  • Introduction au format PDF
  • Spécificités
  • Intégration de JavaScript et possibilités
  • Exemples de PDFs malveillants
  • Outils d’analyse: Origami, Editeur hexadécimal
  • Extraction de charge
  • Analyse de charge
  • Fichiers Office (DOC)
  • Introduction au format DOC/DOCX
  • Spécificités
  • Macros
  • Objets Linking and Embedding (OLE)
  • Outils d’analyse: Oledump, Editeur hexadécimal
  • Extraction de code malveillant
  • Analyse de la charge
  • Fichiers HTML malveillants
  • Introduction au format HTML
  • Code JavaScript intégré
  • Identification de code JavaScript malveillant
  • Outils d’analyse: éditeur de texte
  • Désobfuscation de code
  • Analyse de charge

Moyens et Méthodes Pédagogiques

  • La formation est constituée d’apports théoriques, d’exercices pratiques et de réflexions
  • Un poste par stagiaire
  • Formateur Expert
  • Remise d’une documentation pédagogique papier ou numérique pendant le stage

Validation des acquis

  • Auto évaluation des acquis par le stagiaire via un questionnaire en fin de formation
  • Attestation de fin de stage remise avec la facture