Recherche avancée
Par formation
Par date
Par ville
logo HUB Formation
Organisme de Formation
aux Technologies et métiers de L'informatique
La pédagogie au service de la technologie
Accueil > Domaines > Sécurité > Analyse de malware : Les fondamentaux

Analyse de malware : Les fondamentaux

Ce cours complet de 5 jours est assuré par un expert reconnu de l'analyse de malwares et du reverse engineering. Les stagiaires de cette formation pourront acquérir à la fois les connaissances théoriques et pratiques requises pour réaliser la rétro-ingénierie de malware. Des cas réels de malware seront utilisés lors de cette formation. Les malwares seront tenus sous contrôle via des machines virtuelles.

Objectifs

  • Comprendre les mécanismes d'un malware.
  • Comprendre le fonctionnement du système Windows.
  • Créer un environnement d'analyse avec les outils nécessaires.
  • Comprendre les principes des architectures x86.
  • Apprendre à analyser des programmes compilés.
  • Apprendre à analyser du code avec un désassembleur et un debogueur.
  • Connaître les différentes techniques d'obfuscation et de packing.

Public

  • Tout public intéressé par l'analyse de malware.
  • Les équipes opérationnelles de SOC ou équipes de réponse d'incident.

Prérequis

  • Connaissances solides en systèmes d'exploitation et réseau.
  • Connaissances de base d'un langage de programmation compilé.

Programme de la formation

Jour 1

  • Présentation des différentes familles de malwares (ransomware, trojan...).
  • Présentation des differents vecteurs d'infections les plus communs (Water Holing, Spear Phishing...).
  • Les modes opératoires des attaquants (reconnaissance, intrusion initiale, persistance, pivot, exfiltration).
  • Techniques classiques de detection (yara, IOC, containment...).
  • Configuration d'un laboratoire d'analyse dans une machine virtuelle (VirtualBox ou VMware).
  • Collect forensics via l'outil libre FastIR

Jour 2

  • Analyse des données forensiques acquises lors de la journée précedente.
  • Analyse d'une image mémoire (RAM dump).
  • Plateforme d'analyse de type sandbox (Cuckoo) et multi-antivirus.
  • Découverte de l'API Windows.
  • Présentation des techniques fréquement utilisées par les malwares (contournement de l'UAC, Hooks, injection de code...).

Jour 3

  • Présentation des techniques de protections de Windows (EMET, credential guard, device guard, ASLR/DEP/SEHOP/CFG/...).
  • Présentation de certains types de fichiers vecteurs de malware (pdf, Flash, Java, Office, Macro...).
  • Etude du format de binaire Windows (PE).
  • Apprentissage de l'assembleur X86 ainsi que les specificités de l'assembler X64 (mémoire, registres...).
  • Architecture Win32 et création de processus (PEB, TEB, ...).

Jour 4

  • Présentation de l'analyse statique (via IDA Pro / Radare2 / relyze).
  • Présentation de l'analyse dynamique (via Immunity Debugger / WinDBG).
  • Présentation des API de developpement sur ces deux logiciels.
  • Présentation des techniques d'obfuscation (chaines de caractères, API, ...).
  • Analyse de packers.
  • Analyse d'un ransomware.

Jour 5

  • Analyse d'un exploit.
  • Analyse d'une ROP chain.
  • Analyse d'un shellcode.
  • Divers exercices.
  • Suivant le public: reverse kernel (configuration du lab, mecanisme, ...).

Informations pratiques

Il est demandé aux stagiaires de se munir d'un ordinateur portable portable équipé du logiciel VirtualBox (config. minimum : i3 / 2Go Ram).

Méthode pédagogique

Un support de cours est remis à chaque participant. La théorie est complétée par des cas pratiques ou exercices discutés avec le formateur.

Méthode d'évaluation

Le cours est agrémenté de questions et mises en situation pour maximiser l'apprentissage. A l'issue de la formation, un questionnaire de satisfaction sera à compléter en ligne.