Analyse inforensique avancée

FOR_1705-0012

Analyse inforensique avancée

Objectifs:

  • Appréhender la corrélation des événements
  • Retro-concevoir des protocoles de communications
  • Analyser des systèmes de fichiers corrompus
  • Connaître et analyser la mémoire volatile des systèmes d'exploitation 

Public:

  • Investigateurs numériques souhaitant progresser,
  • Analystes des SOC et CSIRT (CERT),
  • Administrateurs système, réseau et sécurité,
  • Experts de justice en informatique.

Durée:

35 heures

Programme:

Section 1 : Introduction à l'inforensique réseau
  • Incident de sécurité
    • Présentation
      • Quels sont les étapes d'une intrusion ?
      • Quels impacts de celles-ci ?
  • Indices de compromission (IOC)
    • Introduction au threat intel (Misp, Yeti, etc.)
    • Quels sont les outils / ressource à disposition ?
    • Création d'IOC
  • Hunting & Triage (à distance ou en local)
    • GRR
    • Kansa
    • OS Query
    • Comment analyser et automatiser l'analyse du résultat de notre hunting ?
      • NSRLDB
      • Packing/Entropie/, etc…
Section 2 : Analyse post-mortem réseau
  • Analyse des journaux des principaux services réseau (DNS, HTTP, SGBD, Pare-feux, Syslog)
  • Analyse de capture réseau (PCAP)
  • Analyse statistique des flux (Netflow)
  • Canaux de communications avec les serveurs de Command and Control
  • Détection des canaux de communications cachées (ICMP, DNS)
  • Détection des techniques de reconnaissances
  • Création de signatures réseaux

Section 3 : Mémoire volatile
  • Introduction aux principales structures mémoires
  • Analyse des processus
    • Processus "cachés"
    • Traces d'injection de code et techniques utilisées
    • Process-Hollowing
  • Shellcode - détection et analyse du fonctionnement
  • Handles
  • Communications réseaux
  • Kernel : SSDT, IDT, Memory Pool
  • Utilisation de Windbg
    • Création de mini-dump
    • Analyse "live" d'un système
Section 4 : FileSystem (NTFS only)
  • Introduction au FS NTFS et aux différents artefacts disponibles
  • Présentation de la timerules sous Windows/Linux/OSX
  • Timeline filesystem
    • Timestomping + toutes les opérations pouvant entravers une timeline "only fs"
Section 5 : Trace d'exécution et mouvement latéraux
  • Trace de persistances
    • Autostart (Linux/Windows/OSX)
    • Services
    • Tâches planifiées
    • WMI
  • Active Directory - Détecter une compromission
    • Comment générer une timeline des objets AD ?
    • Recherche de "backdoor" dans un AD (bta, autres outils, ...)
    • Présentation des principaux EventID et relations avec les outils d'attaques (golden ticket, etc.)
Section 6 : Super-Timeline
  • Présentation
    • Cas d'utilisations
      • Timesketch
Section 7 : Quizz de fin de formation

Parcours de formation disponibles sur demande

Sensibilisation pour tous par l'Agence Nationale de Sécurité des Systèmes d'Information

SecNumAcademie - Formation à la Cybersécurité...

par ANSSI_FR

A découvrir sur le site de L’agence nationale de la sécurité des systèmes d'information (ANSSI)

Le MOOC (Massive Open Online Course) SecNumAcademie – La nouvelle formation en ligne met la cybersécurité à la portée de tous

By G-echo

Pour aller plus loin

Ressources