Objectifs de la formation

Au fil des années, la pollution des ordinateurs par des virus ou des malwares est devenue un fait incontournable et un risque toujours présent tant chez le particulier qu’en entreprise.

Cette formation Virus et malwares sous Windows cherche à vous faire comprendre leurs mécanismes d’action et les différentes façons de se protéger ou de les éradiquer sans choisir un outil particulier.
On retrouvera une forte analogie avec le monde médical (symptômes, analyses, diagnostics, traitements, culture biologique) qui vous permettra d’assimiler clairement les concepts et manipulations techniques effectuées. Vous serez à même de réparer rapidement un poste sans tout réinstaller comme on le fait trop souvent en première solution.

À l’issue de cette formation, vous aurez acquis les connaissances nécessaires pour:

• Savoir préparer un poste sans tout réinstaller.

• Créer un script permettant de vérifier la présence de malwares
• Éviter le formatage en cas d’infection Identifier et neutraliser les malwares
• Rechercher la source d’une infection
• Distinguer une infection d’un dysfonctionnement
• Ordonner et optimiser l’éradication d’une infection virale
• Sensibiliser les utilisateurs face au social engineering
• Élaborer un schéma de protection en adéquation avec les besoins de l’entreprise.

À qui s’adresse cette formation ?

 Public :

Technicien de maintenance, administrateur réseaux et systèmes, responsable informatique, ou particulier souhaitant maîtriser le comportement et l’éradication des virus et malwares.

Prérequis :

Bien connaître l’utilisation du poste de travail sous Windows et les bases de la configuration du réseau.

Contenu du cours

1. Vocabulaire et concepts

Les infections virales

Analogie avec les virus biologiques
Démystifier les virus sans les sous-estimer
Comment classifier les menaces : virus, vers, cheval de Troie, rootkit, backdoor…
Principes généraux de fonctionnement des menaces par « famille »
Les vecteurs d’infection (media, réseau, poste itinérant, Web, …)
Désactivation et contournement des sécurités
Le social engineering
Botnet et ordinateurs zombies (fonctionnement et raison d’être)
Le Cross Scripting et les dangers du Web

Travaux pratiques

Infection de fichier et visualisation des symptômes en hexadécimal
Réalisation d’un cheval de Troie
Utilisation d’un backdoor et déstabilisation du firewall
Manipulation d’un rootkit
Installation de Spyware et visualisation de phishing

Les chiffes des infectionsUn ordinateur sur quatre est infecté dans le monde
SPAM le coeur d’un business lucratif
Connaître les risques logistiques pour l’entreprise
Evolution des menaces

1. Panorama des technologies de protections

Les anti-virus

Virus et anti-virus, le jeu du chat et de la souris
Différence de détection : « Virus in the wild » et « virus Zoo »
Détection séquentielle, générique, heuristiques, comportementale, bac à sable…
Packer : le talon d’Achille des antivirus
Les faux positifs
Les anti-virus en ligne sont-ils efficaces ?

Travaux pratiques

Utilisation d’un bac à sable avec un spyware
Mise en difficulté des détections antivirus
Blocage d’anti-virus en ligne

1. Les firewalls

Concepts des connexions réseaux
Le rôle du firewall dans la détection
Les limites du firewall logiciel ou matériel
Le problème de l’injection des applications tierces
Les applications sensibles (IE, mails, P2P,  …)

Travaux pratiques

Contournement d’un firewall

1. Problème viral, logiciel ou matériel ?

Fonctionnement d’un programme

Programme et DLL
Les injections virales

Travaux pratiques

Injection virale et conséquences

1. Fonctionnement « normal » de windows

Démarrage du système (boot, noyau, bureau, services,…)
Tour  d’horizon des principaux services (svchost, explorer, winlogon, …)
Les signes d’une infection
Les outils pour identifier un processus « anormal »

Travaux pratiques

Méthodologie d’utilisation d’outils spécialisés
Recherche d’un malware maître et désactivation

1. Mode d’activation des codes malicieux

Principes d’activation au démarrage

Réactivation du virus à chaque démarrage
Liste des fichiers sensibles
Base de registre et les clés du paradis viral
La limite du mode sans échec
Les failles de compatibilité ascendante Windows
Multiplication des entrées, question de survie

Travaux pratiques

Tester et comprendre les entrées sensibles de Windows

1. Désactivation manuelle des codes malicieux

L’intervention humaine au secours des antivirus

Méthodologie de vérification et outils à utiliser
Liste des fichiers système à vérifier
Les entrées favorites des virus dans la base de registres
Les outils complémentaires à la détection

Travaux pratiques

Création d’un script de vérification
Méthodologie de lecture du rapport de script

1. Suppression des malwares

Identifier « l’infection mère »
Neutraliser les processus malveillants maîtres
Eradiquer « l’éternel retour »
Prise en compte d’effets combinés sur de multiples infections
Supprimer les résiduels inactifs
Peux-t-il être trop tard ?

Travaux pratiques

Utilisation du script face aux infections
Interprétation des résultats du rapport de script
Méthodologie d’Identification les sources d’infection
Désinfection ciblée sans formatage

1. Sécuriser son entreprise

Le facteur humain

Les informations à diffuser aux utilisateurs
Les erreurs à ne pas commettre lors des sauvegardes
Exemple de contamination liée à une connexion administrateur
Les protocoles de vérification à mettre en place

Les outils

Choisir ses systèmes de sécurité
Faire le tri dans les solutions proposées (payantes et gratuites)
Positionnement des sécurités dans le réseau
Outils de tests de sécurité

Le déploiement des solutions

Contrôler les applications installées sur les machines utilisateurs
Déployer des solutions cohérentes
Contrôler les postes itinérants
Les solutions de type « Proxy »
Les solutions de type « Appliance »

Travaux pratiques

Mise en place d’un schéma idéal pour son entreprise

Objectifs de la formation

L’intrusion de malwares dans le système informatique d’une entreprise ou d’une collectivité peut paralyser son activité ou causer la fuite d’informations sensibles, voire conduire au versement de sommes importantes. Il est donc important de connaître le fonctionnement de ces logiciels malfaisants afin de les identifier et mieux les contrer.

Cette formation Malware permet aux stagiaires d’obtenir une vision panoramique de l’analyse de malware et de pouvoir mettre en pratique ces connaissances en situation réelle.

Illustrée par de nombreux cas pratiques, la formation a pour but d’apprendre aux participants le fonctionnement des malwares, de savoir les identifier et de les éradiquer proprement, en assurant la pérennité des données présentes sur le S.I.

Les apprenants souhaitant approfondir encore davantage leurs connaissances peuvent suivre la formation Rétro-Ingénierie de Logiciels Malveillants (AMRE).

À l’issue de cette formation, vous aurez acquis les connaissances et les compétences nécessaires pour :

• Savoir identifier et éliminer un malware avant sa propagation sur votre SI.

• Connaître les différents malwares
• Identifier un malware
• Mettre en œuvre des contre-mesures adéquates
• Apprendre à manier les outils d’inspection du système

À qui s’adresse cette formation ?

Public :

Ce cours Malware s’adresse aux responsables en gestion d’incident, techniciens en réponse incident, auditeurs techniques et analystes de sécurité.

Prérequis :

De bonnes connaissances du système Microsoft Windows sont nécessaires pour suivre cette formation Malware.

Contenu du cours

1. Introduction aux malwares

Virus
Vers
Botnet
Rançongiciels
Rootkits ( userland – kernel-land )
Bootkit

1. Éradication réponse à incident

Processus inforensique et analyste de logiciels malveillants
Réponse à incident automatisée sur un parc

2. Détection

Les anti-virus et leurs limites
Chercher des informations sur un malware
NIDS / HIDS
EDR
Concept d’IOC dans le cadre d’un SOC / CERT (hash, motifs, etc..)

3. Identification

Analyse dynamique manuelle
Analyse dynamique automatisée (sandboxes)
Analyse statique basique
Introduction à l’analyse mémoire avec Volatility
Introduction à la rétro-conception

Objectifs de la formation

Lorsqu’un malware est détecté dans un système informatique, les responsables sécurité doivent en connaître le fonctionnement pour mieux contrer ses effets. Dans cette formation Rétro-ingénierie Malwares, les participants découvriront les méthodes et les outils utilisés en reverse engineering, stratégie d’analyse de malware.

Le cours vous préparera à la réalisation d’investigations dans le cadre d’attaques réalisées via des logiciels malveillantes, de la mise en place d’un laboratoire d’analyse comportementale à l’extraction et au désassemblage de code malveillant.

À l’issue de cette formation, vous aurez acquis les connaissances et les compétences nécessaires pour :

• Savoir créer un laboratoire d’analyse de malwares et en comprendre le fonctionnement en plongeant dans le code.

• Mettre en place un laboratoire d’analyse de logiciels malveillants
• Savoir étudier le comportement de logiciels malveillants
• Analyser et comprendre le fonctionnement de logiciels malveillants
• Détecter et contourner les techniques d’autoprotection
• Analyser des documents malveillants

À qui s’adresse cette formation ?

Ce cours Rétro-ingénierie Malwares s’adresse aux techniciens en réponse incident, aux analystes techniques et aux experts en sécurité.

Prérequis :

Pour suivre cette formation Rétro-ingénierie Malwares, il est nécesaire de disposer d’une solide connaissance du système Microsoft Windows. Vous devez également maîtriser le langage assembleur 32 et 64 bits ainsi que l’architecture 32 et 64 bits Intel.

La formation Malwares : détection, identification et éradication (AMLF) constitue le prérequis idéal.

Contenu du cours

1. Rappels sur les bonnes pratiques d’investigation numérique

Présentation des différentes familles de malwares

Vecteurs d’infection

Mécanisme de persistance et de propagation

Laboratoire virtuel vs. physique

Avantages de la virtualisation
Solutions de virtualisation

Surveillance de l’activité d’une machine

Réseau
Système de fichiers
Registre
Service

Ségrégation des réseaux

Réseaux virtuels et réseaux partagés
Confinement des machines virtuelles
Précautions et bonnes pratiques

Variété des systèmes

Services usuels

Partage de fichiers
Services IRC (C&C)

Licensing

Importance des licences

2. Mise en place d’un écosystème d’analyse comportementale

Configuration de l’écosystème
Définition des configurations types
Virtualisation des machines invitées :
– VmWare ESXi
– Virtualbox Server

Installation de Cuckoo/Virtualbox

Mise en pratique

Soumission d’un malware
Déroulement de l’analyse
Analyse des résultats et mise en forme

Amélioration via API

Possibilités de développement et améliorations

1. Analyse statique de logiciels malveillants

Prérequis :
– Assembleur
– Architecture
– Mécanismes anti-analyse

Outils d’investigation :
– IDA Pro

Utilisation d’IDA Pro :
– Méthodologie
– Analyse statique de code
– Analyse de flux d’exécution

Mécanismes d’anti-analyse :
– Packing/protection (chiffrement de code/imports, anti-désassemblage)
– Machine virtuelle
– Chiffrement de données

Travaux pratiques

Analyse statique de différents malwares

4. Analyse dynamique de logiciels malveillants

Précautions :
– Intervention en machine virtuelle
– Configuration réseau

Outils d’analyse :
– OllyDbg
– ImmunityDebugger
– Zim

Analyse sous débogueur :
– Step into/Step over
– Points d’arrêts logiciels et matériels
– Fonctions systèmes à surveiller
– Génération pseudo-aléatoire de noms de de domaines (C&C)
– Bonnes pratiques d’analyse

Mécanismes d’anti-analyse :
– Détection de débogueur
– Détection d’outils de rétro-ingénierie
– Exploitation de failles système

5. Analyse de documents malveillants

Fichiers PDFs :
– Introduction au format PDF
– Spécificités
– Intégration de JavaScript et possibilités
– Exemples de PDFs malveillants
– Outils d’analyse: Origami, Editeur hexadécimal
– Extraction de charge
– Analyse de charge

Fichiers Office (DOC) :
– Introduction au format DOC/DOCX
– Spécificités
– Macros
– Objets Linking and Embedding (OLE)
– Outils d’analyse: Oledump, Editeur hexadécimal
– Extraction de code malveillant
– Analyse de la charge

Fichiers HTML malveillants :
– Introduction au format HTML
– Code JavaScript intégré
– Identification de code JavaScript malveillant
– Outils d’analyse: éditeur de texte
– Désobfuscation de code
– Analyse de charge

Objectifs de la formation

Après une attaque informatique, l’investigation inforensic permet de collecter et d’analyser des éléments ayant valeur de preuve en vue d’une procédure judiciaire.

L’objectif principal de cette formation Analyse Infosrensique Windows est donc la récupération et l’analyse de données prouvant un délit numérique.

À l’issue de cette formation, vous aurez acquis les connaissances et les compétences nécessaires pour :

• Savoir maîtriser le processus Inforensique Windows.

• Gérer une investigation numérique sur un ordinateur Windows
• Avoir les bases de l’analyse numérique sur un serveur Web
• Acquérir les médias contenant l’information
• Trier les informations pertinentes et les analyser
• Utiliser les logiciels d’investigation numérique
• Maîtriser le processus de réponse à incident

À qui s’adresse cette formation ?

Public :

Ce cours Inforensic Windows s’adresse aux personnes souhaitant apprendre à réaliser des investigations numériques, aux administrateurs système windows ou aux experts de justie en informatique.

Prérequis :

Pour participer à cette formation Analyse Inforensique Windows, il est nécessaire d’avoir suivi la formation Fondamentaux et techniques de la SSI (SFSI) ou d’avoir de solides bases en sécurité des systèmes d’information.

Contenu du cours

1. 1.    Présentation de l’Inforensique

Périmètre de l’investigation
Trousse à outils
Méthodologie “First Responder”

Analyse Post-mortem 

Les disques durs
Introduction aux systèmes de fichiers
Horodatages des fichiers
Acquisition des données : persistantes et volatiles
Gestion des supports chiffrés
Recherche de données supprimées
Sauvegardes et Volume Shadow Copies 
Aléas du stockage flash 

Registres Windows 

Les structures de registres Windows :
– Utilisateurs
– Systèmes 

Analyse des journaux 

Évènements / antivirus / autres logiciels 

1. 2.    Scénario d’investigation forensique

Téléchargement / Accès à des contenus confidentiels

Exécution de programmes
Traces de manipulation de fichiers et de dossiers
Fichiers supprimés et espace non allouéCarving 

Géolocalisation 

Photographies (données Exifs)
Points d’accès WiFi
HTML5 

Exfiltration d’informations 

Périphérique USB
Courriels 
Journaux SMTP :
– Acquisition coté serveur
– Analyse client messagerie

Utilisateurs abusés par des logiciels malveillants  

1. 3.    Interaction sur Internet 

Utilisation des navigateurs internet 

Internet Explorer IE / Edge / Firefox
Chrome / Opera 

Outils de communication – Outils collaboratifs 

Office 365
SharePoint
Traces sur les AD Windows

Présentation des principaux artefacts 

Bases de l’analyse de la RAM :
– Conversion des hyberfiles.sys
– Bases Volatibility/Rekall
– Extraction des clés de chiffrement

1. 4.    Inforensique Linux

Les bases de l’inforensique sur un poste de travail Linux
Les bases de l’inforensique sur un serveur Linux :
– Journaux serveurs Web
– Corrélations avec le système de gestion de fichiers
Création et analyse d’une frise chronologique du système de fichier

1. 5.    Vue d’ensemble 

Création et analyse d’une frise chronologique enrichie d’artefacts
Exemple d’outil d’interrogation de gros volumes de données

Objectifs de la formation

Aujourd’hui, de plus en plus d’entreprises sont victimes d’attaques complexes motivées par l’espionnage économique. C’est pourquoi il est nécessaire de s’armer pour répondre aux incidents de sécurité informatique et mener l’investigation face à des attaques persistantes avancées (APT).

En s’appuyant sur les connaissances acquises dans la formation “Inforensic : Les Bases” (SFIB), cette formation Inforensic Avancée vous prépare à réagir efficacement à ces attaques.

À l’issue de cette formation, vous aurez acquis les connaissances et les compétences nécessaires pour :.

• Savoir réagir efficacement à des attaques.

• Appréhender la corrélation des événements
• Retro-concevoir des protocoles de communication
• Analyser des systèmes de fichiers corrompus
• Connaître et analyser la mémoire volatile des systèmes d’exploitation des évènements.

À qui s’adresse cette formation ?

 Public :

Toutes personnes amenées à traiter des incidents de sécurité ou intrusions complexes, professionnels de l’inforensic, membres d’agences gouvernementales ou détectives souhaitant investiguer, experts et responsables en sécurité.

Prérequis :

Afin de suivre ce cours, il est nécessaire d’avoir de l’expérience en analyse post-mortem ou d’avoir suivi la formation “Inforensic : Les Bases” (SFIB). Il vous faut également avoir des connaissances dans les principaux artéfacts Windows (utilisateurs, système).

Contenu du cours

1. Intrusion en entreprise

Présentation 

Étapes d’une intrusion
Impacts de l’intrusion
Comment réduire le délai ? 

Indices de compromission (IOC) 

Création
Déploiement 

Acquisition d’informations à distances  

Artefacts clés 
PowerShell
Agents GRR

Détection du périmètre  

Journaux d’évènements : Capture, Corrélation
Balayage d’entreprises : IOC, PowerShell 

1. Systèmes de fichiers 

Analyse des systèmes de fichiers NTFS, EXTx, HFS+ 

Structure interne (métafichiers)
Boot Sector

Recouvrement d’informations supprimées 

Modification des métadonnées
Suppression de documents
Recherche par motifs 

Reconstruction d’un système de fichiers 

Master Boot Record 
Table des partitions
–   DOS
–   GPT 

1. Analyse de la mémoire 

Introduction

Pourquoi analyser la mémoire 
Outils d’acquisition
–   Drivers
–   Machines virtuelles
–   DMA
Outils d’analyse
–   Rekall
–   Volatility
–   Windbg  

Présentation des principales structures mémoires 

Linux / MacOS / Windows 

Analyse de la mémoire 

Processus
–   Processus “cachés”
–   Traces d’injection de code
–   Process-Hollowing
–   Shellcode
Détection et analyses : Handles
Communications réseau 
Noyaux : Hooking, Memory Pool 
Traces d’actions utilisateurs : Artefacts du système d’exploitation 

Automatisation des opérations d’inforensic

Création d’une timeline
–   Systèmes
–   Mémoire
Corrélation entre différentes timelines
Validation des acquis : QCM de Certification