AccueilFormationsFormations techniques cybersécuritéAnalyse de malware : Expert

Analyse de malware : Expert

Ce cours complet de 5 jours est assuré par un expert reconnu et auteur d'ouvrages sur l'analyse de malwares et le reverse engineering. Les stagiaires de cette formation pourront acquérir à la fois les connaissances théoriques et pratiques requises pour réaliser la rétro-ingénierie de malware. Des cas réels de malware découverts par SEKOIA seront utilisés lors de cette formation. Les malwares seront tenus sous contrôle via des machines virtuelles.

Objectifs

  • • Comprendre les mécansimes d'un malware
  • • Comprendre le fonctionnement du système Windows
  • • Créer un environnement d'analyse avec les outils nécessaires
  • • Comprendre les principes des architectures x86.
  • • Apprendre à analyser des programmes compilés.
  • • Apprendre à analyser du code avec un désassembleur et un debogueur
  • • Connaître les différentes techniques d'obfuscation et de packing

Description

Ce cours de 5 jours permettra aux stagiaires d'obtenir une vision panoramique de l'analyse de malware et de pouvoir mettre en pratique ces connaissances en situation réelle.

Illustrée par de nombreux cas pratiques, la formation a pour but d'appendre aux stagiaires à:
• avoir un environnement de travail sain pour éviter toute infection de l'environnement d'analyse
• comprendre le fonctionnement de Windows
• comprendre le fonctionnement d'un malware
• comprendre le reverse engineering et les outils liés à cette discipline

Résolument tourné vers la sécurité et animé par un expert reconnu, ce cours permettra aux stagiaires de développer des bases solides théoriques et pratiques de l'analyse de malware.

Public Concerné

  • Tout public intéressé par l'analyse de malware.
  • Les équipes opérationnelles de SOC ou équipes de réponse d'incident

Pré-requis

  • • Connaissances solides en systèmes d'exploitation et réseau.
  • • Connaissances de base d'un langage de programmation compilé

Plan de cours

  - Jour 1: 
* Présentation des différentes familles de malwares (ransomware, trojan...)
* Présentation des differents vecteurs d'infections les plus communs (Water Holing, Spear Phishing...)
* Les modes opératoires des attaquants (reconnaissance, intrusion initiale, persistance, pivot, exfiltration)
* Techniques classiques de detection (yara, IOC, containment...)
* Configuration d'un laboratoire d'analyse dans une machine virtuelle (VirtualBox ou VMware)
* Collect forensics via l'outil libre FastIR

- Jour 2:
* Analyse des données forensiques acquises lors de la journée précedente.
* Analyse d'une image mémoire (RAM dump)
* Plateforme d'analyse de type sandbox (Cuckoo) et multi-antivirus
* Découverte de l'API Windows
* Présentation des techniques fréquement utilisées par les malwares (contournement de l'UAC, Hooks, injection de code...)

- Jour 3:
* Présentation des techniques de protections de Windows (EMET, credential guard, device guard, ASLR/DEP/SEHOP/CFG/...)
* Présentation de certains types de fichiers vecteurs de malware (pdf, Flash, Java, Office, Macro...)
* Etude du format de binaire Windows (PE)
* Apprentissage de l'assembleur X86 ainsi que les specificités de l'assembler X64 (mémoire, registres...)
* Architecture Win32 et création de processus (PEB, TEB, ...)

- Jour 4:
* Presentation de l'analyse statique (via IDA Pro / Radare2 / relyze)
* Presentation de l'analyse dynamique (via Immunity Debugger / WinDBG)
* Présentation des API de developpement sur ces deux logiciels
* Présentation des techniques d'obfuscation (chaines de caractères, API, ...)
* Analyse de packers
* Analyse d'un ransomware

- Jour 5:
* Analyse d'un exploit
* Analyse d'une ROP chain
* Analyse d'un shellcode
* divers exercices
* Suivant le public: reverse kernel (configuration du lab, mecanisme, ...)