Analyse de Malwares – Les fondamentaux

Cette formation Forensic est orientée vers la pratique des tests d’intrusion 40 % du temps consacré à la pratique. Lors de cette formation, vous allez acquérir des connaissances généralistes sur le fonctionnement des malwares et maitriser des méthodologies d’analyse statique et dynamique.

Jour 1 matin

Section 1 – Etat de l’art
Introduction
Historique
Vecteurs d’infection
Compromission
Impacts business
Défenses classiques

Jour 1 après-midi

Section 2 – Bases système
Séquence de boot
Dissection d’un processus
Dissection d’un exécutable
Gestion de la mémoire
Techniques communes
Obfuscation, packers, encoders (évasion)

Section 2 – Environnement
Infrastructure
Bonnes pratiques et création d’un lab

Jour 2 matin

Section 3 – Outils d’analyse
Présentation des outils d’analyse
TD1 / Découverte de la suite Sysinternals (Procmon, Procexp)
Analyse statique
Analyse dynamique
Introduction à la suite FLARE Mandiant
TD 2 / Analyse d’un PDF
TD 3 / Analyse Meterpreter / Unicorn / Macros
Sandbox
VirusTotal
Cuckoo
AnyRun
TD 4 / Analyse d’une charge dans une SandBox

Jour 2 après-midi

TP 1 /  Etude de cas – Analyse d’une attaque et rédaction d’un rapport
Signatures
YARA
Création de règles
Implémentation YARA
Plateformes d’échanges
TD 5 / Signer des malwares

Jour 3 Matin

Section 4 – Analyse de dumps mémoire
Acquisition
Volatility
Processus
DLLs
Ruches
Injections
Connections
TP 2 /  Analyse de dumps mémoire

Jour 3 Après-midi

Section 5 – Introduction à l’assembleur (ia-32)
Introduction
Registres
Flags
Instructions
La pile
TD 6 /  Premiers programmes
Hello World (Write)
Boucles
Execve (/bin/sh)

Jour 4 matin 

Section 6 – Shellcoding
Introduction à GDB
Commandes utiles
Shellcode méthode stack
Shellcode méthode Jmp-Call-Pop
Les encoders
Les stagers
       
Jour 4 après-midi

TP 3 /  Création d’un encodeur XOR

Jour 5 

Où trouver des shellcodes
Encoder des shellcodes existants (Metasploit)
TP 5 /  Reverse d’une charge