Bases de l'analyse de logiciels malveillants

Intermédiaire

Analysez des binaires malveillants en toute sécurité. Combinez l'analyse statique pour extraire les chaînes de caractères et les en-têtes avec l'analyse dynamique utilisant strace et ltrace pour surveiller les appels système et de bibliothèque lors de l'exécution.

cybersecurity-engineercybersecurity

💡 Ce tutoriel est traduit par l'IA à partir de la version anglaise. Pour voir la version originale, vous pouvez cliquer ici

Principes fondamentaux de l'analyse de logiciels malveillants

Apprenez les bases de l'analyse de logiciels malveillants (malware) en examinant des binaires suspects de manière contrôlée et systématique. Les équipes de sécurité doivent souvent répondre rapidement à des questions cruciales concernant un exécutable récupéré : de quoi s'agit-il, que tente-t-il de faire, quels fichiers modifie-t-il et quel est son niveau de dangerosité ? Ce cours vous apprend à obtenir ces réponses grâce à l'analyse statique et dynamique à l'aide d'outils Linux pratiques.

Pourquoi est-ce important ?

L'analyse de logiciels malveillants ne commence pas toujours par une ingénierie inverse complète. Dans de nombreux cas, la priorité est de trier un binaire inconnu rapidement et en toute sécurité. Cela signifie extraire des signaux utiles avant l'exécution, puis observer le comportement lors de l'exécution avec suffisamment de précision pour comprendre la menace.

Ce cours se concentre sur ce flux de travail de triage. Vous inspecterez les binaires de manière statique, tracerez leur activité système et leurs bibliothèques de manière dynamique, et combinerez ces résultats pour obtenir une vision plus claire de leur comportement et de leurs intentions.

Ce que vous allez apprendre

Effectuer une analyse statique sur des binaires suspects sans les exécuter.
Extraire des chaînes de caractères, des hashs, des détails sur l'architecture et d'autres indicateurs utiles liés aux malwares.
Utiliser strace pour surveiller les appels système et le comportement observable lors de l'exécution.
Utiliser ltrace pour inspecter le comportement au niveau des bibliothèques et la logique cachée du programme.
Construire un flux de travail d'analyse de logiciels malveillants de base qui équilibre sécurité et pertinence des informations.

Feuille de route du cours

Analyse statique de logiciels malveillants : Examiner le binaire en toute sécurité et extraire des indicateurs avant l'exécution.
Analyse dynamique avec strace : Observer le comportement des fichiers, des processus et du réseau grâce au traçage des appels système.
Traçage des appels de bibliothèque avec ltrace : Inspecter les interactions avec les bibliothèques pour comprendre la logique interne du programme.
Défi d'ingénierie inverse de logiciels malveillants : Combiner l'analyse statique et dynamique pour enquêter sur un binaire suspect récupéré.

À qui s'adresse ce cours ?

Aux apprenants qui débutent dans l'analyse de logiciels malveillants et le triage lors de la réponse aux incidents.
Aux analystes en sécurité qui ont besoin d'un point de départ pratique pour l'investigation de binaires.
Aux défenseurs qui souhaitent comprendre le comportement des malwares sans passer directement par une ingénierie inverse avancée.

Résultats attendus

À la fin de ce cours, vous serez capable d'analyser des binaires suspects en toute sécurité, d'extraire des comportements et des indicateurs significatifs, et d'expliquer comment les preuves statiques et dynamiques soutiennent le triage des logiciels malveillants.