Recherche avancée
Par formation
Par date
Par ville
logo HUB Formation
Organisme de Formation
aux Technologies et métiers de L'informatique
La pédagogie au service de la technologie
> > > Analyse de malware : Les fondamentaux

Analyse de malware : Les fondamentaux

Ce cours complet de 5 jours est assuré par un expert reconnu de l'analyse de malwares et du reverse engineering. Les stagiaires de cette formation pourront acquérir à la fois les connaissances théoriques et pratiques requises pour réaliser la rétro-ingénierie de malware. Des cas réels de malware seront utilisés lors de cette formation. Les malwares seront tenus sous contrôle via des machines virtuelles.

Objectifs

  • Comprendre les mécanismes d'un malware.
  • Comprendre le fonctionnement du système Windows.
  • Créer un environnement d'analyse avec les outils nécessaires.
  • Comprendre les principes des architectures x86.
  • Apprendre à analyser des programmes compilés.
  • Apprendre à analyser du code avec un désassembleur et un debogueur.
  • Connaître les différentes techniques d'obfuscation et de packing.

Public

  • Tout public intéressé par l'analyse de malware.
  • Les équipes opérationnelles de SOC ou équipes de réponse d'incident.

Prérequis

  • Connaissances solides en systèmes d'exploitation et réseau.
  • Connaissances de base d'un langage de programmation compilé.

Programme de la formation

Jour 1

  • Présentation des différentes familles de malwares (ransomware, trojan...).
  • Présentation des differents vecteurs d'infections les plus communs (Water Holing, Spear Phishing...).
  • Les modes opératoires des attaquants (reconnaissance, intrusion initiale, persistance, pivot, exfiltration).
  • Techniques classiques de detection (yara, IOC, containment...).
  • Configuration d'un laboratoire d'analyse dans une machine virtuelle (VirtualBox ou VMware).
  • Collect forensics via l'outil libre FastIR

Jour 2

  • Analyse des données forensiques acquises lors de la journée précedente.
  • Analyse d'une image mémoire (RAM dump).
  • Plateforme d'analyse de type sandbox (Cuckoo) et multi-antivirus.
  • Découverte de l'API Windows.
  • Présentation des techniques fréquement utilisées par les malwares (contournement de l'UAC, Hooks, injection de code...).

Jour 3

  • Présentation des techniques de protections de Windows (EMET, credential guard, device guard, ASLR/DEP/SEHOP/CFG/...).
  • Présentation de certains types de fichiers vecteurs de malware (pdf, Flash, Java, Office, Macro...).
  • Etude du format de binaire Windows (PE).
  • Apprentissage de l'assembleur X86 ainsi que les specificités de l'assembler X64 (mémoire, registres...).
  • Architecture Win32 et création de processus (PEB, TEB, ...).

Jour 4

  • Présentation de l'analyse statique (via IDA Pro / Radare2 / relyze).
  • Présentation de l'analyse dynamique (via Immunity Debugger / WinDBG).
  • Présentation des API de developpement sur ces deux logiciels.
  • Présentation des techniques d'obfuscation (chaines de caractères, API, ...).
  • Analyse de packers.
  • Analyse d'un ransomware.

Jour 5

  • Analyse d'un exploit.
  • Analyse d'une ROP chain.
  • Analyse d'un shellcode.
  • Divers exercices.
  • Suivant le public: reverse kernel (configuration du lab, mecanisme, ...).

Informations pratiques

Il est demandé aux stagiaires de se munir d'un ordinateur portable portable équipé du logiciel VirtualBox (config. minimum : i3 / 2Go Ram).