ESIROI · Maquettes Connexion
AccueilITS8 · UE8-CYBER
ESI-SPI-CI-IN4-S8-UE4-EC1

Cybersécurité : Exfiltration, Évasion et Malwares

FR EN ⬇ PDF
RéférentTahiry RAZAFINDRALAMBO  [tahiry.razafindralambo@univ-reunion.fr](tahiry.razafindralambo@univ-reunion.fr)
ECTS1
CM / TD / TP4 / 8 / 12
Typematiere
Viable
Viable100%
Complète93%
Manque pour « complète »
  • Version EN relue

But du cours

Comprendre les mécanismes offensifs d'exfiltration de données, d'évasion des défenses et de fonctionnement des logiciels malveillants, afin d'être capable d'analyser des malwares, de détecter des comportements suspects et de renforcer la posture défensive d'un système d'information.

Acquis d'apprentissage visés

  • Analyser statiquement et dynamiquement un logiciel malveillant afin d’en comprendre le comportement et les indicateurs de compromission
  • Identifier et contrer les techniques d’exfiltration de données (canaux cachés, DNS tunneling, C2) et d’évasion des mécanismes de détection
  • Concevoir, développer et mettre en œuvre des mécanismes de protection des données, des logiciels, du réseau et du cloud
  • Choisir et administrer les outils de détection et de corrélation des incidents de sécurité face aux menaces malware
  • Rédiger un rapport d’analyse technique en français et en anglais, incluant les indicateurs de compromission (IoC) et les recommandations de remédiation

Prérequis

  • SEC502 - Cybersécurité : Principes, Pratiques et Menaces : modèles CIA, classification des menaces, introduction aux malwares et aux défenses.
  • SEC602 - Cryptographie et applications : chiffrement, PKI, TLS/SSL — nécessaires pour comprendre les techniques d’obfuscation et les canaux C2 chiffrés.
  • SEC702 - Cybersécurité : Méthodologies de Sécurité Offensive : phases d’un pentest, exploitation de vulnérabilités, post-exploitation — base directe pour comprendre les comportements malveillants.
  • SEC701 - Architecture et Infrastructure Sécurisées : réseaux, firewalls, DMZ, segmentation — indispensables pour analyser les communications malveillantes.
  • SYSRES 501 - Principes des réseaux et de l’IoT : protocoles TCP/IP, DNS, HTTP — essentiels pour l’analyse du trafic réseau malveillant.
  • SYSRES 502 - Système d’exploitation et langage de commande : administration Linux/Windows, processus, registre, système de fichiers — base de l’analyse comportementale.
  • Compétences transversales attendues :
  • Pratique du terminal Linux et de l’environnement Windows
  • Notions de scripting (Bash, Python)
  • Capacité à lire de la documentation technique en anglais
  • Utilisation de machines virtuelles et d’environnements isolés

Programme

  • Taxonomie des logiciels malveillants : virus, vers, chevaux de Troie, ransomwares, spywares, rootkits, bootkits — mécanismes d’infection et de propagation.
  • Techniques d’exfiltration de données : canaux cachés, DNS tunneling, exfiltration via HTTP/HTTPS, protocoles de commande et contrôle (C2), beaconing.
  • Techniques d’évasion des défenses : obfuscation, packing, chiffrement de payload, contournement d’antivirus et d’EDR, living off the land (LOLBins).
  • Analyse statique de malwares : extraction de métadonnées, désassemblage (Ghidra, IDA Free), extraction de chaînes, analyse des imports/exports.
  • Analyse dynamique de malwares : bac à sable (sandbox), surveillance des appels système, analyse réseau (Wireshark, FakeNet-NG), hooking.
  • Contre-mesures et remédiation : confinement, éradication, restauration, durcissement des systèmes, threat intelligence.
  • Rédaction du rapport d’analyse : structure, IoC, scoring de criticité, recommandations techniques et organisationnelles.

Modalités d'évaluation

Contrôles continus et travaux pratiques évalués.

Bibliographie

  • Michael Sikorski & Andrew Honig - Practical Malware Analysis - No Starch Press, 2012
  • Chris Eagle - The IDA Pro Book - No Starch Press, 2^(e) éd., 2011
  • Bruce Dang et al. - Practical Reverse Engineering - Wiley, 2014
  • Solange Ghernaouti - Sécurité informatique et réseaux - Éditions Dunod
  • MITRE ATT&CK - Tactiques d’exfiltration et d’évasion : <https://attack.mitre.org>
  • ANY.RUN - Sandbox d’analyse dynamique : <https://any.run>
  • VirusTotal - Analyse de fichiers et d’URL : <https://www.virustotal.com>
  • MalwareBazaar - Base de samples malveillants : <https://bazaar.abuse.ch>
  • ANSSI - Guides et recommandations : <https://www.ssi.gouv.fr/guide/>
  • NIST SP 800-83 - Guide to Malware Incident Prevention and Handling : <https://csrc.nist.gov/publications/detail/sp/800-83/rev-1/final>

Supports

Diaporamas, fiches de travaux dirigés et de travaux pratiques.