Retour aux formations
Cybersécurité
Endpoint Forensics – Investigation et remédiation sur les postes compromis
5 jour(s) • 35h
Description
Objectif de formation : Maîtriser les outils et techniques avancés d’analyse forensique sur les postes de travail pour identifier, comprendre et contrer des attaques sophistiquées (APT, ransomware, menaces persistantes). Apprendre à utiliser la mémoire, les fichiers système, les journaux, les artefacts Windows et des outils open source pour mener des enquêtes complètes, à grande échelle, sur les postes infectés.
Objectifs pédagogiques
- Identifier les preuves d’une compromission sur un poste Windows
- Mener des analyses mémoire et système poussées avec des outils open source
- Reconstituer les étapes d’une attaque à travers les artefacts temporels
- Détecter les persistances discrètes utilisées par des adversaires avancés
- Automatiser la collecte et la réponse à l’incident à grande échelle (Velociraptor, PowerShell)
- Élaborer des recommandations de remédiation fondées sur l’analyse terrain
Public concerné
Analystes forensiques, IR, Blue Team, CERT
Administrateurs sécurité intervenant sur des postes infectés
Consultants sécurité en réponse à incident
Prérequis
Bonne connaissance des systèmes Windows
Connaissances de base en sécurité informatique et architecture SI
Familiarité avec les lignes de commande (PowerShell, CMD)
Déroulé du programme
1
Introduction à la Forensic sur les postes de travail (3 heures)
3h
- Rappel des concepts fondamentaux : artefacts, chaînes de temps, volatilité des preuves
- Étapes d’une investigation : identification, acquisition, préservation, analyse, reporting
- Présentation des outils phares : PowerShell, Velociraptor, SIFT Workstation, FTK Imager
- Bonnes pratiques de préservation de l’intégrité des preuves
- Travaux pratiques : Image logique d’un poste Windows avec FTK Imager
- Travaux pratiques : exploration de la SIFT Workstation
- Travaux pratiques : choix des sources d’information selon le type d’attaque
2
Analyse mémoire et détection de malware en exécution (6 heures)
6h
- Acquisition de la mémoire vive : méthodologie, outils (DumpIt, WinPMEM…)
- Analyse mémoire avec Volatility / Rekall : processus cachés, hooks, injection
- Détection de C2 actifs, shellcode, rootkits
- Analyse d’exécutables en mémoire et extraction d’IoC
- Travaux pratiques : Dump mémoire d’un poste infecté et analyse avec Volatility
- Travaux pratiques : détection d’un malware non détecté par l’antivirus
- Travaux pratiques : identification des connexions réseau malveillantes à partir de la RAM
3
Analyse du registre Windows et des persistances (5 heures)
5h
- Emplacements critiques dans le registre : Run keys, services, WMI, etc.
- Détection des persistances et des techniques "Living off the Land" (PowerShell, WMI, schtasks)
- Identification des malwares timestampés et cachés
- Détection des artefacts laissés par l’attaquant (commande, chemins, scripts)
- Travaux pratiques : extraction et parsing des hives Windows à l’aide de RegRipper
- Travaux pratiques : analyse comparative entre un registre propre et compromis
- Travaux pratiques : Détection de persistances PowerShell et scheduled tasks malveillantes
4
Timeline Forensics et corrélation temporelle (5 heures)
5h
- Création de timelines à partir de divers artefacts : journaux, MFT, Prefetch, LNK, shellbags
- Reconstruction d’une chronologie d’événements malveillants
- Détection de pivots et mouvements latéraux sur base temporelle
- Analyse des fichiers supprimés et restauration (VSS, Shadow Copies)
- Travaux pratiques : création d’une timeline complète avec Plaso/Log2timeline
- Travaux pratiques : reconstitution d’une attaque (exploitation → persistence → C2)
- Travaux pratiques : récupération de fichiers supprimés via analyse de Volume Shadow Copy
5
Chasse aux comportements d’attaquants (Threat Hunting) (5 heures)
5h
- Identification d’activités malicieuses sans signature : TTPs d’APT, ransomware
- Recherche d’attaques sans malware (LOLbins, scripts légitimes abusés)
- Analyse comportementale des utilisateurs et des processus
- Corrélation avec MITRE ATT&CK et détection de beaconing
- Travaux pratiques : analyse comportementale d’un utilisateur compromis (shellbags, login, prefetch)
- Travaux pratiques : détection d’un mouvement latéral via artefacts systèmes
- Travaux pratiques : Chasse au beaconing dans les journaux réseau d’un poste
6
Utilisation avancée de Velociraptor et de PowerShell IR (6 heures)
6h
- Déploiement et configuration de Velociraptor pour IR à grande échelle
- Utilisation de requêtes VQL pour collecter et analyser les artefacts ciblés
- PowerShell pour l’IR : collecte automatisée, scripts de remédiation
- Scénario de réponse sur 100+ machines compromises
- Travaux pratiques : collecte distante d’artefacts avec Velociraptor (autoruns, logs, processus)
- Travaux pratiques : création et exécution de scripts PowerShell d’investigation
- Travaux pratiques : détection d’une attaque multi-systèmes + réponse centralisée
7
Exfiltration, élévation de privilèges et remédiation (5 heures)
5h
- Détection des outils d’exfiltration utilisés (certutil, rclone, FTP, DNS tunneling)
- Analyse d’élévation de privilèges (token stealing, UAC bypass, privilege escalation)
- Traçabilité des accès administrateurs et des escalades de droits
- Élaboration d’un plan de remédiation global post-incident
- Travaux pratiques : analyse réseau + artefacts pour détecter une exfiltration via DNS
- Travaux pratiques : corrélation entre logs système et artefacts pour comprendre l’escalade de privilèges
- Travaux pratiques : rédaction d’un rapport de remédiation technique après compromission
Informations
Durée
5 jour(s)
35h
Tarif
3450 € HT
HT