AccueilFormationsFormations techniques cybersécuritéAnalyse de malware : Les Fondamentaux

Analyse de malware : Les Fondamentaux

Ce premier module de 2,5 jours est assuré par un expert reconnu et auteur de 2 ouvrages sur l'analyse de malwares et le reverse engineering. Après une introduction sur les malwares (types, vecteurs d'infection, propagation...), les stagiaires découvriront les techniques de détection, la collecte d'informations forensics, et enfin l'analyse du fonctionnement des malwares dans un laboratoire virtuel. Des cas réels de malware découverts par SEKOIA seront utilisés lors de cette formation. Les malwares seront tenus sous contrôle via des machines virtuelles.

Objectifs

  • • Savoir identifier les différentes familles de malwares
  • • Connaître les modes opératoires des attaquants
  • • Connaître les techniques classiques de détection de malware
  • • Savoir effectuer une collecte d'informations forensics
  • • Configurer et utiliser un laboratoire d'analyse sur une machine virtuelle

Description

Ce cours de 2,5 jours permettra au stagiaire de comprendre les fondamentaux de l'analyse de malwares.

Illustrée par de nombreux cas pratiques, la formation a pour but d'apprendre aux stagiaires à :
• identifier les différentes familles de malwares,
• connaître les modes opératoires des attaquants,
• effectuer une collecte d'informations forensics,
• configurer et utiliser un laboratoire d'analyse sur une machine virtuelle

Résolument tourné vers la sécurité et animé par un expert reconnu, ce cours permettra aux stagiaires de développer des bases solides en analyse de malwares.

Public Concerné

Tout public intéressé par l'analyse de malware.

Pré-requis

  • • Connaissances solides en systèmes d'exploitation et réseau.

Plan de cours

  - Jour 1: 
      * Présentation des différentes familles de malwares (ransomware, trojan...)
      * Présentation des differents vecteurs d'infections les plus communs (Water Holing, Spear Phishing...)
      * Les modes opératoires des attaquants (reconnaissance, intrusion initiale, persistance, pivot, exfiltration)
      * Techniques classiques de detection (yara, IOC, containment...)
      * Configuration d'un laboratoire d'analyse dans une machine virtuelle (VirtualBox ou VMware)
      * Collect forensics via l'outil libre FastIR


  - Jour 2:
      * Analyse des données forensiques acquises lors de la journée précedente.
      * Analyse d'une image mémoire (RAM dump)
      * Plateforme d'analyse de type sandbox (Cuckoo) et multi-antivirus
      * Découverte de l'API Windows
      * Présentation des techniques fréquement utilisées par les malwares (contournement de l'UAC, Hooks, injection de code...)


  - Jour 3:
      * Présentation des techniques de protections de Windows (EMET, credential guard, device guard, ASLR/DEP/SEHOP/CFG/...)
      * Présentation de certains types de fichiers vecteurs de malware (pdf, Flash, Java, Office, Macro...)
      * Etude du format de binaire Windows (PE) 
      * Architecture Win32 et création de processus (PEB, TEB, ...)