Forensic

Forensic Linux Junior - 5 jours

Description

L’investigation numérique permet de reconstruire et comprendre de manière détaillée la chronologie des activités présentes et passées d’un système. Dans le cas présent, nous nous intéressons au noyau Linux et deux types de distribution Linux. Les exemples et illustrations sont retenus pour des distributions sur des bases apt et rpm, néanmoins la plupart des éléments présentés dans la formation peuvent être généralisés.

Lors d’un incident de sécurité ou d’une recherche de malveillance informatique, les premières questions posées concernent à établir le périmètre de compromission et le mode opératoire de l’attaquant. La démarche technique d’une telle investigation se veut la plus exhaustive possible et surtout reproductible.

Au cours de ces cinq jours de formation, il sera exposé aux différents participants les fondamentaux à connaître afin de mener une investigation numérique pour une distribution Linux et ainsi identifier les traces d’une malveillance. Chaque module sera illustré par des travaux pratiques guidés permettant d'appliquer les notions théoriques enseignées préalablement. La formation inclut une mise en situation sur plusieurs artefacts ( disque, mémoire, pcap ).

  • 5 jours ( 35 heures )

  • 12 modules de cours couvrant les fondamentaux de l’investigation Linux

  • Approche à froid ou à chaud pour couvrir plusieurs situations

  • Travaux dirigés sur des artefacts afin d’illustrer au mieux la théorie

Public et prérequis

Cette formation a été conçue pour des personnes ayant une première expérience sur la compréhension des environnements Linux ( administration, troubleshooting, utilisation avancée ) et désirant aller plus loin dans le domaine de l’investigation numérique.

  • Utilisateurs expérimentés

  • Administrateurs système

  • Analystes SOC niveau 2 ou équipe de cybersécurité

  • Analystes forensique débutants

Des notions de sécurité offensive et de bonnes connaissances Unix sont un plus pour la compréhension de cette formation.

Contenu

Jour 1

Prises en main et la ligne de commande : prise en main de l’environnement de formation ( machine virtuelle, système Linux ). Rappel des principales commandes pour Linux. Linux et distribution : description du fonctionnement de Linux dont les processus, file descriptors, modèle de sécurité ( user/group, ACL, cgroup ), les canaux nommés, signaux, terminal et interpréteur de commande, X11. Système de fichiers : principaux types de système de fichiers rencontrés dans les systèmes Linux ( ext4, LVM, XFS ). Caractéristiques et particularités pour le forensic : gestion des dates, fichiers effacés, métadonnées, etc. Cas de LUKS et des disques virtuels ( qcow, vmdk ).

Jour 2

Séquence de démarrage : identifier la séquence de démarrage afin de vérifier l’intégrité de la chaîne de lancement ( grub, initramfs, cas UEFI ). Recherche de backdoor sur Systemd. Cas du SecureBoot et de la signature des modules noyaux. Gestion des programmes : contrôle des programmes installés sur le système ( intégrité, permissions ). Format ELF : programme et bibliothèque. Utilisation des gestionnaires de paquets apt et rpm. Journalisation : type de journaux ( /var/log ) et processus associés ( syslog, auditd ). Traces de compromission.

Jour 3

Mécanisme de persistance : moyens de persistance système et utilisateur, gestionnaire des périphériques, Systemd. Analyse des processus : outils de diagnostique des processus, principaux processus Linux ( ssh, X11 ), exécution à distance, procfs. Analyse réseau : configuration réseau, outils de diagnostic réseau, sockets réseau, protocoles généralement rencontrés et tunnels, captures réseau.

Jour 4

Codes malveillants : outils et méthodes d’analyse permettant mener une première étude sur un code malveillant et ainsi extraire les informations d’intérêt (comportement, IOC, etc.). Artefact : autres artefacts ( coredump, viminfo ) Analyse mémoire : les techniques d’acquisition et d’identification d’éléments suspects sont abordées afin de compléter l’analyse des éléments hors ligne. Processus en cours d’exécution, connexions réseau, fichiers en cache, injections mémoire et API hooking.

Jour 5

Conteneur : recherche de traces dans la conteneurisation et reconstitution du système. Collecte de données : extraction de fichiers ( copie de disque ) et sélective ( velociraptor ) Étude de cas : plusieurs images sont proposées aux participants afin de mettre en pratique l’ensemble des techniques étudiées durant les 5 jours. Ces images regroupent des données variées comme une image disque, une capture mémoire et des captures réseau.