Recherche avancée
Par formation
Par date
Par ville
logo HUB Formation
Organisme de Formation
aux Technologies et métiers de L'informatique
La pédagogie au service de la technologie
> > > Rétro-Ingénierie de Logiciels Malfaisants

Rétro-Ingénierie de Logiciels Malfaisants

Créez votre laboratoire d’analyse de malwares et comprenez leur fonctionnement en plongeant dans leur code

Cette formation prépare à la réalisation d’investigations dans le cadre d’attaques réalisées via des logiciels malveillants, de la mise en place d’un laboratoire d’analyse comportementale à l’extraction et au désassemblage de code malveillant.

Objectifs

  • Mettre en place un laboratoire d’analyse de logiciels malveillants
  • Savoir étudier le comportement de logiciels malveillants
  • Analyser et comprendre le fonctionnement de logiciels malveillants
  • Détecter et contourner les techniques d’autoprotection
  • Analyser des documents malveillants

Public

  • Techniciens réponse incident
  • Analystes techniques
  • Experts sécurité

Prérequis

  • Connaissance du système Microsoft Windows
  • Maîtrise du langage assembleur 32 et 64 bits
  • Maîtrise de l’architecture 32 et 64 bits Intel

Programme de la formation

Rappels sur les bonnes pratiques d’investigation numérique

Présentation des différentes familles de malwares

Vecteurs d’infection

Mécanisme de persistance et de propagation

Laboratoire virtuel vs. physique

  • Avantages de la virtualisation
  • Solutions de virtualisation

Surveillance de l’activité d’une machine

  • Réseau
  • Système de fichiers
  • Registre
  • Service

Ségrégation des réseaux

  • Réseaux virtuels et réseaux partagés
  • Confinement des machines virtuelles
  • Précautions et bonnes pratiques

Variété des systèmes

Services usuels

  • Partage de fichiers
  • Services IRC (C&C)

Licensing

  • Importance des licences

Mise en place d’un écosystème d’analyse comportementale

  • Configuration de l’écosystème
  • Définition des configurations types
  • Virtualisation des machines invitées
    • VmWare ESXi
    • Virtualbox Server

Installation de Cuckoo/Virtualbox

Mise en pratique

  • Soumission d’un malware
  • Déroulement de l’analyse
  • Analyse des résultats et mise en forme

Amélioration via API

  • Possibilités de développement et améliorations

Analyse statique de logiciels malveillants

  • Prérequis
    • Assembleur
    • Architecture
    • Mécanismes anti-analyse
  • Outils d’investigation
    • IDA Pro
  • Utilisation d’IDA Pro
    • Méthodologie
    • Analyse statique de code
    • Analyse de flux d’exécution
  • Mécanismes d’anti-analyse
    • Packing/protection (chiffrement de code/imports, anti-désassemblage)
    • Machine virtuelle
    • Chiffrement de données
  • Travaux pratiques
    • Analyse statique de différents malwares

Analyse dynamique de logiciels malveillants

  • Précautions
    • Intervention en machine virtuelle
    • Configuration réseau
  • Outils d’analyse
    • OllyDbg
    • ImmunityDebugger
    • Zim
  • Analyse sous débogueur
    • Step into/Step over
    • Points d’arrêts logiciels et matériels
    • Fonctions systèmes à surveiller
    • Génération pseudo-aléatoire de noms de de domaines (C&C)
    • Bonnes pratiques d’analyse
  • Mécanismes d’anti-analyse
    • Détection de débogueur
    • Détection d’outils de rétro-ingénierie
    • Exploitation de failles système

Analyse de documents malveillants

  • Fichiers PDFs
    • Introduction au format PDF
    • Spécificités
    • Intégration de JavaScript et possibilités
    • Exemples de PDFs malveillants
    • Outils d’analyse: Origami, Editeur hexadécimal
    • Extraction de charge
    • Analyse de charge
  • Fichiers Office (DOC)
    • Introduction au format DOC/DOCX
    • Spécificités
    • Macros
    • Objets Linking and Embedding (OLE)
    • Outils d’analyse: Oledump, Editeur hexadécimal
    • Extraction de code malveillant
    • Analyse de la charge
  • Fichiers HTML malveillants
    • Introduction au format HTML
    • Code JavaScript intégré
    • Identification de code JavaScript malveillant
    • Outils d’analyse: Editeur de texte
    • Désobfuscation de code
    • Analyse de charge