Formation Analyse de malware : Les Fondamentaux

L’intrusion de malwares dans le système informatique d’une entreprise ou d’une collectivité peut paralyser son activité, causer la fuite d’informations sensibles, voire conduire au versement de sommes importantes. Il est donc important de connaître le fonctionnement de ces logiciels malfaisants afin de les identifier et mieux les contrer.

Ce cours permettra aux stagiaires d’obtenir une vision panoramique de l’analyse de malware et de pouvoir mettre en pratique ces connaissances en situation réelle. Illustrée par de nombreux cas pratiques, la formation a pour but d’appendre aux stagiaires à avoir un environnement de travail sain pour éviter toute infection de l’environnement d’analyse, et à comprendre le fonctionnement de Windows, d’un malware, et du reverse engineering ainsi que des outils liés à cette discipline. Résolument tourné vers la sécurité et animé par un expert reconnu, ce cours permettra aux stagiaires de développer des bases solides théoriques et pratiques de l’analyse de malware.

Plus concrètement, cette formation vous apportera les connaissances et compétences nécessaires pour:

• Comprendre les mécanismes d’un malware.
• Comprendre le fonctionnement du système Windows.
• Créer un environnement d’analyse avec les outils nécessaires.
• Comprendre les principes des architectures x86.
• Apprendre à analyser des programmes compilés.
• Apprendre à analyser du code avec un désassembleur et un debogueur.
• Connaître les différentes techniques d’obfuscation et de packing.

Public :

Ce stage s’adresse à tout public intéressé par l’analyse de malware, et aux équipes opérationnelles de SOC ou équipes de réponse d’incident. Les participants désirant approfondir leur connaissance des malwares peuvent suivre la formation “Analyse de malware : Reverse engineering”.

Prérequis :

De solides connaissances en systèmes d’exploitation et réseau sont indispensables pour aborder cette formation dans de bonnes conditions.
Il est également fortement conseillé de connaitre un langage de programmation compilé.

Jour 1

Présentation des différentes familles de malwares (ransomware, trojan…).
Présentation des differents vecteurs d’infections les plus communs (Water Holing, Spear Phishing…).
Les modes opératoires des attaquants (reconnaissance, intrusion initiale, persistance, pivot, exfiltration).
Techniques classiques de detection (yara, IOC, containment…).
Configuration d’un laboratoire d’analyse dans une machine virtuelle (VirtualBox ou VMware).
Collect forensics via l’outil libre FastIR

Jour 2

Analyse des données forensiques acquises lors de la journée précedente.
Analyse d’une image mémoire (RAM dump).
Plateforme d’analyse de type sandbox (Cuckoo) et multi-antivirus.
Découverte de l’API Windows.
Présentation des techniques fréquement utilisées par les malwares (contournement de l’UAC, Hooks, injection de code…).

Jour 3

Présentation des techniques de protections de Windows (EMET, credential guard, device guard, ASLR/DEP/SEHOP/CFG/…).
Présentation de certains types de fichiers vecteurs de malware (pdf, Flash, Java, Office, Macro…).
Etude du format de binaire Windows (PE).
Apprentissage de l’assembleur X86 ainsi que les specificités de l’assembler X64 (mémoire, registres…).
Architecture Win32 et création de processus (PEB, TEB, …).

Jour 4

Présentation de l’analyse statique (via IDA Pro / Radare2 / relyze).
Présentation de l’analyse dynamique (via Immunity Debugger / WinDBG).
Présentation des API de developpement sur ces deux logiciels.
Présentation des techniques d’obfuscation (chaines de caractères, API, …).
Analyse de packers.
Analyse d’un ransomware.

Jour 5

Analyse d’un exploit.
Analyse d’une ROP chain.
Analyse d’un shellcode.
Divers exercices.
Suivant le public: reverse kernel (configuration du lab, mecanisme, …).

Des cas réels de malware seront utilisés lors de cette formation. Les malwares seront tenus sous contrôle via des machines virtuelles.