FOR_1705-0013
Rétroingénierie de logiciels malfaisants
Objectifs:
- Qualifier la menace d'un logiciel malfaisant
- Savoir mettre en place d'un laboratoire d'analyse des logiciels malfaisants et préparer l'outillage d'analyse
- Analyser de manière statique et dynamique le comportement de logiciels malfaisants
- Apprendre l'architecture x86
- Savoir identifier les structures logiques (boucles, branchement...)
- Savoir identifier des motifs utilisés par les logiciels malfaisants en analysant le code
- Analyser la mémoire
- Savoir contourner les techniques d'autoprotection
Public:
- Membres d'un SOC ou d'un CSIRT
- Équipes de réponse aux incidents
- Toute personne souhaitant réaliser des analyses avancées des menaces
- Toute personne intéressée par l'analyse des logiciels malfaisants
- Professionnel de la sécurité souhaitant acquérir des connaissances en analyse de codes malfaisants
- Analystes
- Responsables sécurité
Durée:
35 heuresMéthode pédagogique:
- Cours magistral illustré par des travaux pratiques réguliers
Programme:
Section 1 : Introduction aux bases de l'analyse de logiciels malveillants- Processus et méthodologie générique
- Analyse statique :
- Analyse des métadonnées
- Analyse statique
- Analyse dynamique
- Comportemental
- Débugger
- Construire son laboratoire d'analyse
- Simuler internet
- Utilisation de la virtualisation
- Contournement des mécanismes de protection anti-VM
- Simulation d'architecture "exotique" (IOT)
- Construction du laboratoire et boite à outils
- Sandbox
- Introduction au langage assembleur
- Guide de survie des instructions de bases
- Instruction modifiant le flux d'exécution
- Présentation des registres
- Conventions d'appels
- Spécificités des langages objets
- IDA Pro:
- Introduction
- Prise en main de l'outil (création de scripts)
- Chaine de compilation et binaires
- Fuite d'informations possibles
- Imports d'information dans IDA
- Introduction aux systèmes d'exploitation
- Processus vs thread
- Scheduler
- Syscall
- Différence processus vs thread
- Format d'exécutable
- Format PE
- Présentation des informations
- Format PE
- Structures internes
- SEH
- TEB
- PEB
- SSDT
- Introduction au "kernel debugging"
- Introduction aux outils de DRM/Protection de code
- Comment les identifier ?
- Quels sont les impacts ?
- Comment les identifier ?
- -- Introductions aux différentes techniques de protection :
- Anti-désassemblage
- Anti-debogage
- Obscurcissement du CFG
- Machine virtuelle Évasion (détection de sandbox/Virtualisation)
- Analyse de packer
- Présentation de la méthode générique d'unpacking
- Découverte de l'OEP
- Reconstruction de la table d'imports
- Miasm2 :
- Unpacking automatique
- Miasm2 :
- Catégoriser les logiciels malveillants en fonction de leurs API
- Keyloggers
- Rootkits (userland et kerneland)
- Sniffers
- Ransomwares
- Bots et C2
- Injection de code
- Technique de contournement de flux d'exécution (ie: detour)
- Shellcode
- Techniques et outils d'analyses
- Miasm2
- Unicorn Engine
- Malware "Web" (JavaScript/VBScript)
- Analyse statique et dynamique
- Limitation des navigateurs
- Malwares Flash
- Applications mobiles Android
- Documents malveillants
- Suite Office
- RTF
- Malwares .Net
- Création de signatures Yara
- Communication et base de connaissances
- MISP
- Yeti
Sanction:
- A l'issue de cette formation, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises,
- Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de formation,
- La réussite à l'examen donne droit à la certification HS2
- Formation délivrée en partenariat avec HS2
Parcours de formation disponibles sur demande
Formation RGPD en ligne ouverte pour tous
Une nouvelle formation en ligne ouverte à tous (MOOC) intitulée « L’atelier RGPD » propose aux professionnels de découvrir ou mieux appréhender le RGPD. Il permet ainsi d’initier une mise en conformité de leur organisme et d’aider à la sensibilisation des opérationnels.
Sensibilisation pour tous par l'Agence Nationale de Sécurité des Systèmes d'Information
Le MOOC (Massive Open Online Course) SecNumAcademie – La nouvelle formation en ligne met la cybersécurité à la portée de tous
A découvrir sur le site de L’agence nationale de la sécurité des systèmes d'information (ANSSI)
Formons les formateurs!
La formation des formateurs ! A découvrir de toute urgence l'interview de Gérard PELIKS le président de cyberedu.
Cyberedu met à votre disposition la mallette de formation des formateurs à télécharger immédiatement.
Programme G-echo en pdf
OF 73310795531