PDF

USCB1A

Introduction à la rétro conception et analyse de Malware

3 crédits Nicolas PIOCH et Philippe BOINOT EPN05 - Informatique Unité spécifique de type mixte

Publié Du 01-09-2022 au 31-08-9999

Objectifs pédagogiques

Description :

Lorsqu'un malware est détecté dans un système informatique, les responsables sécurité doivent en connaître le fonctionnement pour mieux contrer ses effets. Cette formation aborde des techniques d’analyses statiques de code, de la retro-conception ainsi que la connaissance de techniques de bases de conception d’exploits utilisés par différents malwares pour persister ou détourner le comportement d’un programme légitime afin d'obtenir plus de privilèges.

Objectifs pédagogiques :

Être capable de faire une retro-conception d’un logiciel malveillant, de caractériser son comportement afin de comprendre la menace. Publier un rapport de sécurité au profit des institutions.

Compétences

Compétences acquises :

Savoir préparer un laboratoire d’analyse d’un malware
Savoir analyser et comprendre le comportement de logiciels malveillants
Savoir détecter et contourner les techniques d’autoprotection
Savoir rédiger un rapport d’analyses sur un malware

Savoirs :

Comprendre les techniques d’infection, d’exploitation de vulnérabilité, Shellcode, logiciel IDA, Cuckoo SandBox, mécanisme de protection anti-malware

L'unité USCB1A apparaît dans 1 cursus.

MR11607A

Master Sciences, technologies, santé mention Informatique parcours Sécurité informatique, cybersécurité et cybermenaces

Contenu

Contenu :

Introduction
- Cadre légal concernant la rétro conception
- Typologie des malwares, vecteurs d’infection, mécanisme de persistance et de propagation
- Triptyques moyens de l’attaquant / volonté / intérêt de la cible
Introduction au binaire
- Chargement et exécution en mémoire (code, données, imports et relocations)
- Introduction à l'assembleur x86 (instructions, Piles / Tas, conventions d'appels, appels systèmes, etc.)
Compréhension technique des vulnérabilités et exploits
- Mise en place d’un laboratoire d’analyse
- Les vulnérabilités de corruption mémoire
  - Buffer overflow sur la pile
  - Integer overflow (Explications, manipulation et contre-mesures)
  - Vulnérabilités sur le tas (Heap buffer overflow, User after free, Double free)
  - Les mitigations et contournements (canaris, ASLR, DEP) et mécanismes modernes (Windows 10)
Les shellcodes
- Différences avec un binaire
- Indépendance vis-à-vis d’un loader
- Création d’un shellcode linux en assembleur
Analyse statique de malware
- Utilisation du logiciel Ghidra (méthodologie, analyse statique de code)
- Patterns et signatures, vérification d'intégrité, Métriques d'entropie, heuristiques, etc.
Analyse dynamique de malware
- Introduction à Cuckoo SandBox
- Debug et suivi de traces
Mécanismes d’anti-analyse
- Packing / protection (chiffrement de codes, anti-désassemblage)
- Protection contre les machines virtuelles, les débogueurs, outils de rétro-ingénierie
- Offuscation, chiffrement, ancrage
Le rapport d’analyse

Modalités de validation

Examen final

Description des modalités de validation

Examen de 2 heures

Thésaurus du Cnam :

Aucune indexation

Thésaurus Formacode :

Aucune indexation

Secrétariat

Libellé

Cnam Centre Régional de Bretagne

Nom du contact

Isabelle Guée

Adresses email

cnam@cnam-bretagne.fr

Numéros de téléphone

0 972 311 312

Adresse postale

Zoopôle Les Croix 2 rue Camille Guérin
Ploufragan 22440