Formation Inforensique Avancée

Aujourd'hui, de plus en plus d'entreprises sont victimes d'attaques complexes motivées par l'espionnage économique. C'est pourquoi il est nécessaire de s'armer pour répondre aux incidents de sécurité informatique et mener l'investigation face à des attaques persistantes avancées (APT).

En s’appuyant sur les connaissances acquises dans la formation "Inforensic : Les Bases" (SFIB), cette formation Inforensic Avancée vous prépare à réagir efficacement à ces attaques.

Objectif opérationnel : 

Savoir réagir efficacement à des attaques.

Objectifs pédagogiques : 

À l'issue de cette formation Inforensique Avancée vous aurez acquis les connaissances et les compétences nécessaires pour : 

• Appréhender la corrélation des événements
• Retro-concevoir des protocoles de communication
• Analyser des systèmes de fichiers corrompus
• Connaître et analyser la mémoire volatile des systèmes d'exploitation des évènements.

Public :

Toutes personnes amenées à traiter des incidents de sécurité ou intrusions complexes, professionnels de l'inforensic, membres d'agences gouvernementales ou détectives souhaitant investiguer, experts et responsables en sécurité.

Prérequis :

Afin de suivre ce cours, il est nécessaire d'avoir de l'expérience en analyse post-mortem ou d'avoir suivi la formation "Inforensic : Les Bases" (SFIB). Il vous faut également avoir des connaissances dans les principaux artéfacts Windows (utilisateurs, système).

Intrusion en entreprise

Présentation 

Étapes d'une intrusion
Impacts de l'intrusion
Comment réduire le délai ? 

Indices de compromission (IOC) 

Création
Déploiement 

Acquisition d'informations à distances  

Artefacts clés 
PowerShell
Agents GRR

Détection du périmètre  

Journaux d'évènements : Capture, Corrélation
Balayage d'entreprises : IOC, PowerShell 

Systèmes de fichiers 

Analyse des systèmes de fichiers NTFS, EXTx, HFS+ 

Structure interne (métafichiers)
Boot Sector

Recouvrement d'informations supprimées 

Modification des métadonnées
Suppression de documents
Recherche par motifs 

Reconstruction d'un système de fichiers 

Master Boot Record 
Table des partitions
-   DOS
-   GPT 

Analyse de la mémoire 

Introduction

Pourquoi analyser la mémoire 
Outils d'acquisition
-   Drivers
-   Machines virtuelles
-   DMA
Outils d'analyse
-   Rekall
-   Volatility
-   Windbg 

Présentation des principales structures mémoires 

Linux / MacOS / Windows 

Analyse de la mémoire 

Processus
-   Processus "cachés"
-   Traces d'injection de code
-   Process-Hollowing
-   Shellcode
Détection et analyses : Handles
Communications réseau 
Noyaux : Hooking, Memory Pool 
Traces d'actions utilisateurs : Artefacts du système d'exploitation 

Automatisation des opérations d'inforensic

Création d'une timeline
-   Systèmes
-   Mémoire
Corrélation entre différentes timelines
Validation des acquis : QCM de Certification