FOR_1705-0012

Analyse inforensique avancée

Public:

• Investigateurs numériques souhaitant progresser,
• Analystes des SOC et CSIRT (CERT),
• Administrateurs système, réseau et sécurité,
• Experts de justice en informatique.

Durée:

Méthode pédagogique:

• Cours magistral illustré par des travaux pratiques réguliers

Programme:

• Incident de sécurité
  • Présentation
    • Quels sont les étapes d'une intrusion ?
    • Quels impacts de celles-ci ?
• Indices de compromission (IOC)
  • Introduction au threat intel (Misp, Yeti, etc.)
  • Quels sont les outils / ressource à disposition ?
  • Création d'IOC
• Hunting & Triage (à distance ou en local)
  • GRR
  • Kansa
  • OS Query
  • Comment analyser et automatiser l'analyse du résultat de notre hunting ?
    • NSRLDB
    • Packing/Entropie/, etc…

• Analyse des journaux des principaux services réseau (DNS, HTTP, SGBD, Pare-feux, Syslog)
• Analyse de capture réseau (PCAP)
• Analyse statistique des flux (Netflow)
• Canaux de communications avec les serveurs de Command and Control
• Détection des canaux de communications cachées (ICMP, DNS)
• Détection des techniques de reconnaissances
• Création de signatures réseaux

• Introduction aux principales structures mémoires
• Analyse des processus
  • Processus "cachés"
  • Traces d'injection de code et techniques utilisées
  • Process-Hollowing
• Shellcode - détection et analyse du fonctionnement
• Handles
• Communications réseaux
• Kernel : SSDT, IDT, Memory Pool
• Utilisation de Windbg
  • Création de mini-dump
  • Analyse "live" d'un système

• Introduction au FS NTFS et aux différents artefacts disponibles
• Présentation de la timerules sous Windows/Linux/OSX
• Timeline filesystem
  • Timestomping + toutes les opérations pouvant entravers une timeline "only fs"

• Trace de persistances
  • Autostart (Linux/Windows/OSX)
  • Services
  • Tâches planifiées
  • WMI
• Active Directory - Détecter une compromission
  • Comment générer une timeline des objets AD ?
  • Recherche de "backdoor" dans un AD (bta, autres outils, ...)
  • Présentation des principaux EventID et relations avec les outils d'attaques (golden ticket, etc.)

• Présentation
  • Cas d'utilisations
    • Timesketch

Sanction:

• A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises.
• Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de formation.
• Examen de certification HS2
• Formation délivrée en partenariat avec HS2