Rétro-Ingénierie de Logiciels Malveillants

3.500,00 

Créez votre laboratoire d’analyse de malwares et comprenez leur fonctionnement en plongeant dans leur code

Cette formation prépare à la réalisation d’investigations dans le cadre d’attaques réalisées via des logiciels malveillants, de la mise en place d’un laboratoire d’analyse comportementale à l’extraction et au désassemblage de code malveillant.

Objectifs

  • Mettre en place un laboratoire d’analyse de logiciels malveillants
  • Savoir étudier le comportement de logiciels malveillants
  • Analyser et comprendre le fonctionnement de logiciels malveillants
  • Détecter et contourner les techniques d’autoprotection
  • Analyser des documents malveillants

Pré-requis

  • Connaissance du système Microsoft Windows
  • Maîtrise du langage assembleur 32 et 64 bits
  • Maîtrise de l’architecture 32 et 64 bits Intel
Choisissez une formation sur le calendrier :
Participant n°1
Catégories : ,
Horaires

9h30 – 17h30
Code

RILM

Description

Programme

Jour 1

Rappels sur les bonnes pratiques d’investigation numérique
Présentation des différentes familles de malwares
Vecteurs d’infection
Mécanisme de persistance et de propagation
Laboratoire virtuel vs. physique
  • Avantages de la virtualisation
  • Solutions de virtualisation
Surveillance de l’activité d’une machine
  • Réseau
  • Système de fichiers
  • Registre
  • Service
Ségrégation des réseaux
  • Réseaux virtuels et réseaux partagés
  • Confinement des machines virtuelles
  • Précautions et bonnes pratiques
Variété des systèmes
Services usuels
  • Partage de fichiers
  • Services IRC (C&C)
Licensing
  • Importance des licences

Jour 2

Mise en place d’un écosystème d’analyse comportementale
  • Configuration de l’écosystème
  • Définition des configurations types
  • Virtualisation des machines invitées
    • VmWare ESXi
    • Virtualbox Server
Installation de Cuckoo/Virtualbox
Mise en pratique
  • Soumission d’un malware
  • Déroulement de l’analyse
  • Analyse des résultats et mise en forme
Amélioration via API
  • Possibilités de développement et améliorations

Jour 3

Analyse statique de logiciels malveillants
  • Prérequis
    • Assembleur
    • Architecture
    • Mécanismes anti-analyse
  • Outils d’investigation
    • IDA Pro
  • Utilisation d’IDA Pro
    • Méthodologie
    • Analyse statique de code
    • Analyse de flux d’exécution
  • Mécanismes d’anti-analyse
    • Packing/protection (chiffrement de code/imports, anti-désassemblage)
    • Machine virtuelle
    • Chiffrement de données
  • Travaux pratiques
    • Analyse statique de différents malwares

Jour 4

Analyse dynamique de logiciels malveillants
  • Précautions
    • Intervention en machine virtuelle
    • Configuration réseau
  • Outils d’analyse
    • OllyDbg
    • ImmunityDebugger
    • Zim
  • Analyse sous débogueur
    • Step into/Step over
    • Points d’arrêts logiciels et matériels
    • Fonctions systèmes à surveiller
    • Génération pseudo-aléatoire de noms de de domaines (C&C)
    • Bonnes pratiques d’analyse
  • Mécanismes d’anti-analyse
    • Détection de débogueur
    • Détection d’outils de rétro-ingénierie
    • Exploitation de failles système

Jour 5

Analyse de documents malveillants
  • Fichiers PDFs
    • Introduction au format PDF
    • Spécificités
    • Intégration de JavaScript et possibilités
    • Exemples de PDFs malveillants
    • Outils d’analyse: Origami, Editeur hexadécimal
    • Extraction de charge
    • Analyse de charge
  • Fichiers Office (DOC)
    • Introduction au format DOC/DOCX
    • Spécificités
    • Macros
    • Objets Linking and Embedding (OLE)
    • Outils d’analyse: Oledump, Editeur hexadécimal
    • Extraction de code malveillant
    • Analyse de la charge
  • Fichiers HTML malveillants
    • Introduction au format HTML
    • Code JavaScript intégré
    • Identification de code JavaScript malveillant
    • Outils d’analyse: éditeur de texte
    • Désobfuscation de code
    • Analyse de charge