Atelier d'introduction au reverse de malware et à l'OSINT, et les liens entre ces deux disciplines. Le workshop cible un public novice au reverse, à l'OSINT.

1. Introduction ~45min

• Présentation d'OpenFacto
• Qu'est-ce que le Cyber Threat Intelligence ?
• Qu'est-ce que l'analyse des logiciels malveillants ?
• Qu'est-ce que l'OSINT ? -> insister sur la méthodologie avant les outils, et la nécessité de vérifier l'origine de ses outils -> pivots
• Liens entre l'analyse des logiciels malveillants et l'OSINT

2. Analyse des logiciels malveillants Windows ~1h

2.1 Introduction à l'analyse des logiciels malveillants Windows ~15 min

• De nombreux objectifs différents possibles -> des méthodologies encore plus différentes
  • Exploratoire : que fait ce malware ?
  • Détection : parlons brièvement des signatures de détection
  • Extraction d'informations pour analyse ultérieure : erreurs commises par le développeur (PDB, adresse email, etc.) et configuration du malware (IP, noms de domaine, etc.)
  • Étudier l'évolution du code : besoin de savoir quelles caractéristiques sont immuables, possibilité de comparer différentes versions
  • etc, etc.
• Retour
  • Le premier pas peut être difficile à faire, mais il existe des gains rapides qui peuvent vous aider à démarrer.
  • Beaucoup de gens ont peur du langage assembleur, mais si vous ne voulez pas devenir un analyste professionnel de logiciels malveillants, vous n'avez pas nécessairement besoin d'avoir une compréhension très approfondie du langage assembleur.
  • si vous voulez vous y mettre, la pratique est la meilleure façon d'apprendre, et être patient est important (essayez de ne pas être frustré par le fait que vous ne comprendrez pas tout au début)
  • Il existe de nombreuses bonnes ressources (liste à la fin), la première étant PMA, qui est vraiment bien pour commencer

2.2 Les bases ~20min

Il s'agit principalement de démonstrations avec possibilité pour les participants de les essayer en même temps

• Quelques notions importantes
  • Chaînes : formats de chaînes, leur extraction, quelles chaînes pourraient être intéressantes (PDB, noms de fonctions)
  • Parlons de l'en-tête PE, sans entrer dans trop de détails (principalement les importations/API Windows et les horodatages)
• Assemblée
  • Je n'aurai pas le temps d'entrer dans les détails ici, c'est un sujet très vaste
  • Conseil le plus important : entraînez-vous et ne vous découragez pas ! Ce n'est pas grave de ne pas tout comprendre, mais gardez votre objectif en tête.
  • Outils gratuits disponibles pour s'entraîner à la maison (montrer Binary Ninja)
  • Une stratégie possible : commencer par des solutions rapides et aborder les détails de l'assemblage petit à petit avec la pratique. Ou bien, se concentrer sur les solutions rapides qui peuvent s'avérer utiles même si l'assemblage n'est pas votre truc.

2.3 Les gains rapides existent ! ~25 min

• De nombreux outils existent en ligne
  • Outils d'extraction de fichiers intégrés (comme des images -> OSINT)
  • Outils pour déballer (sujet vaste, il n'y aura peut-être pas assez de temps pour en parler)
• Documentation de l'API Windows
  • Montrez à titre d'exemple 2 fonctions de malware où vous pouvez voir les fonctions de l'API Windows appelées et deviner approximativement ce qui se passe (interactif)
• Modèles reconnaissables ou constantes cryptographiques
  • Montrez 2 exemples de fonctions cryptographiques célèbres et facilement reconnaissables (interactif)
• En gros, si vous ne vous laissez pas trop intimider, vous comprendrez peut-être plus que vous ne le pensez.
• Limitations : packaging complexe, techniques d'obfuscation, …

3. OSINT ~1h

3.1 Dorks 20 min

• Point de départ : nous avons une API Windows, ouais !
• Examen des principaux moteurs de recherche et comment influencer les résultats que nous obtenons à partir d'une requête
• Quelques idiots
• Pratique

3.2 Travailler sur les pseudonymes et les adresses e-mail 20 min

• Point de départ : pseudo en PDB, c'est sympa !
• Comment les gens créent leurs pseudonymes -> susciter l'intérêt de la cible -> contexte à partir des chiffres -> parfois avoir une idée d'une zone géographique liée à la cible
• Pseudonymes -> Principaux outils et leur fonctionnement – comprendre leur fonctionnement et interpréter les résultats -> Ressources alternatives
• Adresses e-mail : -> noms de domaine -> blogs (mail ru) -> outils d’agrégation – et leur fonctionnement
• Pratique

3.3 Noms de domaine 20 min

• Point de départ : la configuration nous a donné un nom de domaine !
• whois, données historiques, RGPD et ses conséquences
• Noms de domaine et adresses IP – liens et faux prospects
• connaissances générales sur les algorithmes de génération de domaine ?
• En fonction du temps restant : gains rapides avec des certificats ou comment obtenir la véritable IP derrière un domaine protégé par Cloudflare ?
• Pratique

Conclusion ~15min

• Ressources intéressantes pour se lancer dans l'analyse des malwares (pas de panique !)
• Conclusion sur OSINT