Forensic

Forensic Windows Junior - 5 jours

Description

L’investigation numérique permet de reconstruire et comprendre de manière détaillée la chronologie des activités présentes et passées d’un système. Dans le cas de cette formation, nous nous intéressons au système d’exploitation Windows 10 ou 11. Qu’il s’agisse d’un incident de sécurité ou d’une recherche de malveillance informatique, les premières réponses visent à établir le périmètre de compromission et le mode opératoire de l’attaquant. La démarche technique présentée se veut la plus exhaustive possible et reproductible.

Au cours de ces cinq jours de formation, il sera exposé aux différents participants les fondamentaux à connaître afin de mener une investigation numérique pour Windows et ainsi identifier les traces d’une malveillance. Chaque module sera illustré par des travaux pratiques guidés permettant d'appliquer les notions théoriques enseignées préalablement. Enfin, la formation se conclura par une mise en situation sur plusieurs traces ( disque, mémoire, pcap ).

Cette formation est focalisée sur le poste de travail et n’intègre pas la dimension entreprise comme Azure/ADFS ( une autre formation abordera prochainement cet aspect ).

  • 5 jours ( 35 heures )

  • 11 modules de cours couvrant les fondamentaux de l’investigation Windows

  • Approche à froid ou à chaud pour couvrir plusieurs cadres d’intervention

  • Travaux dirigés sur des artefacts afin d’illustrer au mieux la théorie

Public et prérequis

Cette formation a été conçue pour des personnes ayant une première expérience sur la compréhension des environnements Windows ( administration, troubleshooting, utilisation avancée ) et désirant aller plus loin dans le domaine de l’investigation numérique. Elle nécessite une maîtrise basique de l’environnement Linux : ce système étant utilisé pour mener certaines investigations.

  • Utilisateurs avancés ( développeurs )

  • Administrateurs système

  • Analystes SOC niveau 2 ou d’une équipe de cybersécurité

  • Analystes forensique débutants

Des notions de sécurité offensive et de bonnes connaissances Windows & Unix sont un plus pour la compréhension de cette formation.

Contenu

Jour 1

Prises en main : prise en main de l’environnement de formation ( machine virtuelle, système Linux ). Rappels de l’utilisation de la ligne de commande Linux. Windows : Description du fonctionnement de Windows ( historique de Windows, processus, services, drivers, fichiers, modèle de sécurité, pile réseau, principales attaques ). Évènements Windows : description du modèle de journalisation Windows et des évènements à connaître par cas d’usage. Mise en situation sur des fichiers d’évènements.

Jour 2

NTFS : étude du système de fichiers privilégié de l’environnement Windows. MFT, Journal des USN et autres fichiers spéciaux. Décodage des dates et fichiers supprimés. Reconstituer la chronologie des événements et pivoter sur un élément ( date, IOC ).

Base de registre : contenu des bases de registre. Cas d’usage et configuration du système Windows. Mécanismes de persistance : les moyens de persistance privilégiés par un attaquant sont passés en revue et ainsi identifient les programmes malveillants exécutés par un attaquant.

Jour 3

Exécution de commandes : traces liées à l’exécution de commande à distance sur le poste au travers des différents protocoles Windows ( WinRM, Psexec, WMI, RPC ). Codes et fichiers malveillants : outils et méthodes d’analyse permettant de mener une première étude sur un code malveillant et ainsi extraire les informations d’intérêt ( comportement, IOC ). Par extension les fichiers pouvant embarquer une charge malveillante sont également étudiés. Protocoles réseau : une attention particulière est proposée afin d’identifier les communications réseau inhabituelles d’un système Windows ainsi que la caractérisation de certaines attaques ( tunnel DNS, TOR ).

Jours 4 et 5

Artefacts : l’étude des artefacts forensic les plus importants ( prefetch, srum, amcache, navigation ) afin de compléter la chronologie de la malveillance. Les méthodes de collecte et d’acquisition sont également présentées afin de mettre à disposition les fichiers à étudier par l’analyste ( DFIR ORC ). Analyse mémoire : les techniques d’acquisition et d’identification d’éléments suspects sont abordées afin de compléter l’analyse des éléments hors ligne. Processus en cours d’exécution, connexions réseau, fichiers en cache, injections mémoire et API hooking. Étude de cas : plusieurs images sont proposées aux participants afin de mettre en pratique l’ensemble des techniques étudiées durant les 5 jours. Ces images regroupent des données variées comme une image disque, une capture mémoire et des captures réseau.