Forensic

Analyse de Malwares Windows Intermédiaire - 5 jours

Description

Dans le cadre du traitement d’incidents de sécurité, il est fréquent de découvrir des codes malveillants. Cette formation a pour objectif de donner les clés de compréhension d’un code malveillant Windows et extraire les éléments d’intérêt.

Durant la formation, plusieurs types de codes malveillants sont illustrés selon le langage utilisé ou encore la phase de l’attaque ( exploitation, persistance ). Les différentes méthodes d’analyse statique et dynamique sont expliquées afin de fournir des approches complémentaires à l’analyse du code malveillant. Une partie assez importante de la formation concerne la mise en pratique dans le cadre d’incident de sécurité ou des modes opératoires régulièrement observés en incident. Cette formation adresse uniquement le cas des codes malveillants userland.

  • 5 jours ( 35 heures )

  • Codes malveillants analysés sur différents langages

  • Étude de fichiers malveillants ( Office, LNK )

  • Environnement de travail prêt à l’emploi

Public et prérequis

Cette formation est adaptée pour des personnes ayant déjà fait de la programmation sous Windows ou ayant déjà engagé des analyses de programme ( débogage ou codes malveillants ). Elle s'adresse à toutes les personnes amenées à manipuler des codes malveillants en particulier les équipes de sécurité ( SOC, CSIRT, équipe sécurité ) ou souhaitant monter en compétences sur ce sujet.

De bonnes connaissances Windows sont recommandées pour mieux comprendre le fonctionnement des codes.

Contenu

Jour 1

Qualification d’un code premier niveau : OSINT, bac à sable automatique. Environnement de travail : installation d’un environnement d’analyse ( isolé / ouvert ) pour procéder aux traitements de codes malveillants. Structure PE : comprendre le format et les aspects utilisés par les codes. Analyse statique et dynamique d’un code : concepts et exemples simples.

Jour 2

Assembleur x86(-64) : premiers pas, contrôle du flot d’exécution et des instructions importantes. Windows : API Windows, bibliothèque à connaître et utiliser par les codes malveillants. Désassembleur 101: prise en main, cas des décompilateurs. Debugger 101: prise en main, étude pas-à-pas & point d’arrêt.

Jour 3

Intrusion initiale : type de code utilisé et exploitation. Scripts malveillants : analyse de sites web, désobfuscation Javascript. Analyse de fichiers malveillants : PDF, Office ( OLE, macros VBA/XLM, pcode ), désobfuscation Vbscript, RTF. Analyse de code Powershell : code powershell et émulation des shellcodes. Analyse de techniques de dissimulation : LNK, ISO, HTA.

Jour 4

Retroconception de code complexe : aller plus loin sur les types de codes rencontrés, unpacking. Méthodes anti-rétroconception : debug, bac-à-sable, rétroconception statique. Automatisation des analyses : scripting pour automatiser la rétroconception de code obfusqué

Jour 5

Rétroconception de code .NET : introduction à .NET et CIL, analyse de malware .NET. Rétroconception de code Go : introduction à Go, analyse de malware golang. Cas d’analyse de code modulaire