Forensique Linux

BT214

Sommaire

Description

La forensique OS est l’art d’extraire des preuves et des indices importants d’une scène de crime numérique, qui peuvent aider l’enquêteur à reconstituer la chaîne des événements.

Au cours de ce cours, les participants apprendront les bases du matériel informatique et du système de fichiers Linux-OS. Ils apprendront à recueillir et à analyser des preuves forensiques et à rédiger des rapports officiels.

Comment réussir au mieux ce cours

Pour réussir ce cours, il vous faudra :

  • Participer à l’ensemble des labos
  • Produire du travail personnel entre les cours
  • Exécuter les exercices, s’auto-former, réaliser les tâches demandées, etc.

Outre une participation active au cours, le participant doit fournir au moins 10h de travail personnel durant la semaine de cours afin d’acquérir une expérience pratique dans les domaines enseignés.
Le participant doit également posséder un ordinateur personnel capable de faire tourner un système virtuel avec une connexion Internet stable (voir ci-dessous pour plus de détails).

Public cible

  • Agents des services de police et de renseignement
  • Intervenants en cas d’incident
  • Enquêteurs informatiques
  • Administrateurs informatiques et de réseaux

Objectifs

  • Accès aux fichiers cachés dans le système et extraction d’informations pertinentes
  • Maîtriser les étapes de la réponse aux incidents
  • Analyser les études de cas pertinents

Prérequis

Cours ThinkCyber niveau 1

Syllabus

Description

Le premier module portera sur les différents composants du matériel informatique. Les participants apprendront les principaux composants des disques de stockage et la structure du système d’exploitation Linux.

Contenu technique

  • Lecteurs et disques
    o L’anatomie d’une conduite
    o Taille des données
    ▪ Représentation des données
    ▪ Hexadécimal
    ▪ ASCII
    ▪ Binaire
    o Volumes et partitions
    o Le partitionnement des disques et l’outil de gestion des disques
    ▪ MBR vs. GPT
    ▪ Comprendre l’UEFI
    ▪ L’APH
    o Caractéristiques du Solid State Drive (SSD)
  • Comprendre la structure de Linux-OS
    o Structure du répertoire Linux
    ▪ Bin
    ▪ Dev
    ▪ Etc
    ▪ Usr
    ▪ Proc
    o Services et systèmed
    o Utilisateurs et groupes
    o Comprendre Shell

Description

Ce module exposera les participants aux composants internes du système d’exploitation Linux. ils découvriront des outils qui les aideront dans le cadre du processus d’enquête forensique.

Contenu technique

  • Comprendre les hashes et les encodages
    o Le hash en tant que signature numérique
    o L’utilisation du hash pour la forensique
    o Encodages de base
  • Traces dans le système d’exploitation Linux
    o Fichiers d’activité des utilisateurs
    ▪ Profile et Bashrc
    ▪ Histoire de Shell
    ▪ Analyser les dossiers ouverts
    o Accès physique au processus de fonctionnement
    o Enregistrement des services à l’aide de Journalctl
    o Analyse du fichier journal
    ▪ auth.log
    ▪ deamon.log
    ▪ syslog ou messages
    o Craquer les fichiers shadow et passwd
    o Fichiers dans /dev
    o Fichiers SUID/SGID
  • Structure des données et des fichiers
    o Outils d’édition hexadécimale
    ▪ Bvi
    ▪ Xxd
    ▪ Hexedit
    ▪ Hexyl
    o Structure des dossiers
    ▪ En-têtes et bande-annonce
    ▪ Numéro magique
    o Métadonnées intégrées
    ▪ ExifTool
    ▪ Exiv2
    o Travailler avec les Clusters
    ▪ Slack Space
    ▪ Espaces non alloués et alloués

Description

Au cours de ce module, les participants maîtriseront les techniques de collecte de preuves, d’accès et de récupération d’informations volatiles et non volatiles.

Contenu technique

  • Découpage de données forensiques
    o Utilisation du Bvi pour le découpage forensique
    ▪ Découpage de fichiers à partir d’un fichier existant
    o Outils automatiques de découpage de fichiers
    ▪ Premier
    ▪ Scalpel
    ▪ Extracteur de vrac
    o Fichiers contenant des informations de base sur le système et des informations sur les utilisateurs suspects
  • Collecte d’informations
    o Preuve de l’exécution du programme
    o Détection des fichiers et répertoires cachés
    o Collecte d’informations sur les réseaux
    ▪ Routage du réseau
    ▪ Utilisation de BMON et TCPTRACK
    ▪ Collecte d’informations sur Netstat
    o Enquêter sur les journaux des serveurs
    ▪ Analyser les journaux des serveurs web
    ▪ Analyser les logs MySQL
    ▪ Analyser les journaux FTP et SSH
    o Systèmes de fichiers montés
    o Modules de noyau chargés
  • Acquisition de données sur les lecteurs
    o Introduction à FTK-Imager CLI
    ▪ Exploration des fichiers système
    ▪ Créer une image
    ▪ dd et dcfldd comme outil alternatif de capture d’images
    o Capturer la mémoire volatile en utilisant la LiME par rapport à l’utilisation de la fmem
    ▪ Introduction aux bases de l’acquisition de la mémoire
    ▪ Compilation du LiME
    ▪ Vider un dossier-mémoire
    ▪ Comprendre le /proc/kcore

Description

Dans ce module, les participants comprendront comment découvrir des informations cachées, détecter des fichiers altérés, travailler avec la mémoire et analyser la RAM.

Contenu technique

  • Analyser les images capturées
    o Caractéristiques de FTK CLI
    ▪ Extraction de fichiers protégés
    ▪ Monter une image comme un lecteur
    ▪ Capture de la mémoire volatile
    o Analyser la numérotation des nœuds
    o Établir des calendriers en tant que CSV
    o Extraction et examen des journaux du système
  • Analyse avancée du système d’exploitation Linux
    o Strace et Ltrace
    o Comprendre le brouillage
    o Travailler avec les binaires
    ▪ Introduction aux dossiers ELF
    ▪ En-têtes, sections et chaînes
    ▪ En-têtes de programme et chargement du programme
    o Introduction à la GDB
    – Travailler avec la mémoire volatile
    o Extraction des données de la mémoire vive
    o Identifier les connexions de réseau
    o Les processus de vidage de la mémoire

Description

Les participants étudieront différents rapports forensiques préparés par des enquêteurs à la suite d’incidents passés et apprendront à rédiger un résumé professionnel, y compris les points à prendre en compte lors de la documentation des conclusions d’un événement.

Contenu technique

  • Introduction à la rédaction de rapports
    o Identification du dispositif
    o Préservation des données
    o Rassembler des preuves
    o Examen et analyse
    o Documentation
    o Présentation des preuves
    o Orientations finales
  • Outils pour une déclaration correcte
    o Autopsie
    o Dradis

Labos

Les labos suivants font partie du cours BT214:

  • Labo 1 Structure du système d’exploitation
  • Labo 2 Hashes et encodage
  • Labo 3 Artefacts Linux
  • Labo 4 Structure des données
  • Labo 5 Découpage des données
  • Labo 6 Acquisition de données
  • Labo 7 Mémoire Linux
  • Labo 8 Volatilité

Etudes de cas réels

Etude de cas #1 (LF001)
Bapco, une compagnie pétrolière bahreïnie, a été attaquée par un logiciel malveillant qui a provoqué un effacement de données. L'attaque a été perpétrée par un groupe de hackers qui était sponsorisé par le gouvernement iranien. Certaines des données des serveurs Linux ont été effacées.
Reference
Etude de cas #2 (LF002)
Toll, une compagnie de transport australienne, a été attaquée par des logiciels de demande de rançon deux fois cette année. Les pirates ont accédé à l'un des serveurs Linux, ont volé des données et ont déployé le logiciel de demande de rançon. En tant que membre de l'équipe InfoSec, vous avez été chargé d'extraire des données précieuses des serveurs attaqués.
Reference
Diapositive précédente
Diapositive suivante
BT214

Type de Cours

Le participant peut bénéficier d’un des deux modes de cours :

  • Une classe de cours virtuelle avec des labos avec instructeur et des scénarios exécutés dans notre Cyberium Arena
  • Des cours in situ avec des labos avec instructeur et des scénarios exécutés dans notre Cyberium Arena

Cependant, en raison des restrictions sanitaires, l’ensemble des cours se fait sous la forme de classes virtuelles. Toutes les sessions sont enregistrées et peuvent être re-visionnées pendant 30 jours. Tout le matériel de cours  est mis à disposition du participant sous  forme électronique, couvrant les syllabus, les labos, et les études de cas.

Groupe de cours: Défense

NIVEAU
0%
1
HEURES

Entre Pratique et Théorie

Notre approche de la formation est éminemment pratique et vise à permettre au participant d’appliquer dans un contexte pratique les connaissances qu’il acquiert.
1 %
Pratique
1
Labos
1
Etudes de cas

Certification

Ce cours prépare aux certifications suivantes:

  • CLFP (7safe)

Équipement requis

Connexion réseau

Comme ce cours est essentiellement fondé sur un Learning Managament System (LMS), incluant une arène pour les labos, les participants ont besoin d’une connexion fiable à Internet.

Apporter votre propre matériel

Le cours étant principalement basé sur la pratique, les participants doivent avoir un ordinateur portable avec :

  • L’audio et la vidéo
  • 8 GB RAM
  • 200 GB d’espace disque
  • La capacité d’un environnement virtuel (capable de faire tourner la dernière version de Virtualbox ou un simulateur de machine virtuelle équivalent)

Et bien sûr un bon kit casque/micro. Plus de détails ici

Inscription