2 - Rappels sur les bonnes pratiques d’investigation numérique
3 - Présentation des différentes familles de malwares
5 - Mécanisme de persistance et de propagation
6 - Laboratoire virtuel vs. physique
- Avantages de la virtualisation
- Solutions de virtualisation
7 - Surveillance de l’activité d’une machine
- Réseau
- Système de fichiers
- Registre
- Service
8 - Ségrégation des réseaux
- Réseaux virtuels et réseaux partagés
- Confinement des machines virtuelles
- Précautions et bonnes pratiques
10 - Services usuels
- Partage de fichiers
- Services IRC (C&C)
13 - Mise en place d’un écosystème d’analyse comportementale
- Configuration de l’écosystème
- Définition des configurations types
- Virtualisation des machines invitées : VmWare ESXi – Virtualbox Server
14 - Installation de Cuckoo/Virtualbox
15 - Mise en pratique
- Soumission d’un malware
- Déroulement de l’analyse
- Analyse des résultats et mise en forme
16 - Amélioration via API
18 - Analyse statique de logiciels malveillants
- Prérequis : Assembleur – Architecture – Mécanismes anti-analyse
- Outils d’investigation : IDA Pro
- Utilisation d’IDA Pro : Méthodologie – Analyse statique de code – Analyse de flux d’exécution
- Mécanismes d’anti-analyse : Packing/protection (chiffrement de code/imports, anti-désassemblage) – Machine virtuelle – Chiffrement de données
- Travaux pratiques : Analyse statique de différents malwares
20 - Analyse dynamique de logiciels malveillants
- Précautions : Intervention en machine virtuelle – Configuration réseau
- Outils d’analyse : OllyDbg – ImmunityDebugger – Zim
- Analyse sous débogueur : Step into/Step over – Points d’arrêts logiciels et matériels – Fonctions systèmes à surveiller – Génération pseudo-aléatoire de noms de de domaines (C&C) – Bonnes pratiques d’analyse
- Mécanismes d’anti-analyse : Détection de débogueur – Détection d’outils de rétro-ingénierie – Exploitation de failles système
22 - Analyse de documents malveillants
- Fichiers PDFs : Introduction au format PDF – Spécificités – Intégration de JavaScript et possibilités – Exemples de PDFs malveillants – Outils d’analyse: Origami, Editeur hexadécimal – Extraction de charge – Analyse de charge
- Fichiers Office (DOC) : Introduction au format DOC/DOCX – Spécificités – Macros- Objets Linking and Embedding (OLE) – Outils d’analyse (Oledump, Editeur hexadécimal) – Extraction de code malveillant – Analyse de la charge
- Fichiers HTML malveillants : Introduction au format HTML – Code JavaScript intégré – Identification de code JavaScript malveillant – Outils d’analyse: Editeur de texte – Désobfuscation de code – Analyse de charge