Formation Rétro-Ingénierie de Logiciels Malveillants Reverse Engineering of Malicious Software

Lorsqu'un malware est détecté dans un système informatique, les responsables sécurité doivent en connaître le fonctionnement pour mieux contrer ses effets. Dans cette formation Rétro-ingénierie Malwares, les participants découvriront les méthodes et les outils utilisés en reverse engineering, stratégie d'analyse de malware.

Le cours vous préparera à la réalisation d'investigations dans le cadre d'attaques réalisées via des logiciels malveillantes, de la mise en place d'un laboratoire d'analyse comportementale à l'extraction et au désassemblage de code malveillant.

Objectif opérationnel :

Savoir créer un laboratoire d'analyse de malwares et en comprendre le fonctionnement en plongeant dans le code.

Objectifs pédagogiques :

À l'issue de cette formation Rétro-ingénierie Malwares, vous aurez acquis les connaissances et compétences nécessaires pour :

• Mettre en place un laboratoire d’analyse de logiciels malveillants
• Savoir étudier le comportement de logiciels malveillants
• Analyser et comprendre le fonctionnement de logiciels malveillants
• Détecter et contourner les techniques d’autoprotection
• Analyser des documents malveillants

Public :

Ce cours Rétro-ingénierie Malwares s'adresse aux techniciens en réponse incident, aux analystes techniques et aux experts en sécurité.

Prérequis :

Pour suivre cette formation Rétro-ingénierie Malwares, il est nécesaire de disposer d'une solide connaissance du système Microsoft Windows. Vous devez également maîtriser le langage assembleur 32 et 64 bits ainsi que l'architecture 32 et 64 bits Intel.

La formation Malwares : détection, identification et éradication (AMLF) constitue le prérequis idéal.

Jour 1

Rappels sur les bonnes pratiques d’investigation numérique

Présentation des différentes familles de malwares

Vecteurs d’infection

Mécanisme de persistance et de propagation

Laboratoire virtuel vs. physique

Avantages de la virtualisation
Solutions de virtualisation

Surveillance de l’activité d’une machine

Réseau
Système de fichiers
Registre
Service

Ségrégation des réseaux

Réseaux virtuels et réseaux partagés
Confinement des machines virtuelles
Précautions et bonnes pratiques

Variété des systèmes

Services usuels

Partage de fichiers
Services IRC (C&C)

Licensing

Importance des licences

Jour 2

Mise en place d’un écosystème d’analyse comportementale

Configuration de l’écosystème
Définition des configurations types
Virtualisation des machines invitées :
- VmWare ESXi
- Virtualbox Server

Installation de Cuckoo/Virtualbox

Mise en pratique

Soumission d’un malware
Déroulement de l’analyse
Analyse des résultats et mise en forme

Amélioration via API

Possibilités de développement et améliorations

Jour 3

Analyse statique de logiciels malveillants

Prérequis :
- Assembleur
- Architecture
- Mécanismes anti-analyse

Outils d’investigation :
- IDA Pro

Utilisation d’IDA Pro :
- Méthodologie
- Analyse statique de code
- Analyse de flux d’exécution

Mécanismes d’anti-analyse :
- Packing/protection (chiffrement de code/imports, anti-désassemblage)
- Machine virtuelle
- Chiffrement de données

Travaux pratiques

Analyse statique de différents malwares

Jour 4

Analyse dynamique de logiciels malveillants

Précautions :
- Intervention en machine virtuelle
- Configuration réseau

Outils d’analyse :
- OllyDbg
- ImmunityDebugger
- Zim

Analyse sous débogueur :
- Step into/Step over
- Points d’arrêts logiciels et matériels
- Fonctions systèmes à surveiller
- Génération pseudo-aléatoire de noms de de domaines (C&C)
- Bonnes pratiques d’analyse

Mécanismes d’anti-analyse :
- Détection de débogueur
- Détection d’outils de rétro-ingénierie
- Exploitation de failles système

Jour 5

Analyse de documents malveillants

Fichiers PDFs :
- Introduction au format PDF
- Spécificités
- Intégration de JavaScript et possibilités
- Exemples de PDFs malveillants
- Outils d’analyse: Origami, Editeur hexadécimal
- Extraction de charge
- Analyse de charge

Fichiers Office (DOC) :
- Introduction au format DOC/DOCX
- Spécificités
- Macros
- Objets Linking and Embedding (OLE)
- Outils d’analyse: Oledump, Editeur hexadécimal
- Extraction de code malveillant
- Analyse de la charge

Fichiers HTML malveillants :
- Introduction au format HTML
- Code JavaScript intégré
- Identification de code JavaScript malveillant
- Outils d’analyse: éditeur de texte
- Désobfuscation de code
- Analyse de charge

Les travaux pratiques représentent 70% du temps de formation.