Endpoint Forensics – Investigation et remédiation sur les postes compromis

Formation créée le 24/07/2025.
Version du programme : 1

Type de formation

Formation présentielle

Durée de formation

35 heures (5 jours)

Endpoint Forensics – Investigation et remédiation sur les postes compromis


Objectif de formation : Maîtriser les outils et techniques avancés d’analyse forensique sur les postes de travail pour identifier, comprendre et contrer des attaques sophistiquées (APT, ransomware, menaces persistantes). Apprendre à utiliser la mémoire, les fichiers système, les journaux, les artefacts Windows et des outils open source pour mener des enquêtes complètes, à grande échelle, sur les postes infectés.

Objectifs de la formation

  • Identifier les preuves d’une compromission sur un poste Windows
  • Mener des analyses mémoire et système poussées avec des outils open source
  • Reconstituer les étapes d’une attaque à travers les artefacts temporels
  • Détecter les persistances discrètes utilisées par des adversaires avancés
  • Automatiser la collecte et la réponse à l’incident à grande échelle (Velociraptor, PowerShell)
  • Élaborer des recommandations de remédiation fondées sur l’analyse terrain

Profil des bénéficiaires

Pour qui
  • Analystes forensiques, IR, Blue Team, CERT
  • Administrateurs sécurité intervenant sur des postes infectés
  • Consultants sécurité en réponse à incident
Prérequis
  • Bonne connaissance des systèmes Windows
  • Connaissances de base en sécurité informatique et architecture SI
  • Familiarité avec les lignes de commande (PowerShell, CMD)

Contenu de la formation

Introduction à la Forensic sur les postes de travail (3 heures)
  • Rappel des concepts fondamentaux : artefacts, chaînes de temps, volatilité des preuves
  • Étapes d’une investigation : identification, acquisition, préservation, analyse, reporting
  • Présentation des outils phares : PowerShell, Velociraptor, SIFT Workstation, FTK Imager
  • Bonnes pratiques de préservation de l’intégrité des preuves
  • Travaux pratiques : Image logique d’un poste Windows avec FTK Imager
  • Travaux pratiques : exploration de la SIFT Workstation
  • Travaux pratiques : choix des sources d’information selon le type d’attaque
Analyse mémoire et détection de malware en exécution (6 heures)
  • Acquisition de la mémoire vive : méthodologie, outils (DumpIt, WinPMEM…)
  • Analyse mémoire avec Volatility / Rekall : processus cachés, hooks, injection
  • Détection de C2 actifs, shellcode, rootkits
  • Analyse d’exécutables en mémoire et extraction d’IoC
  • Travaux pratiques : Dump mémoire d’un poste infecté et analyse avec Volatility
  • Travaux pratiques : détection d’un malware non détecté par l’antivirus
  • Travaux pratiques : identification des connexions réseau malveillantes à partir de la RAM
Analyse du registre Windows et des persistances (5 heures)
  • Emplacements critiques dans le registre : Run keys, services, WMI, etc.
  • Détection des persistances et des techniques "Living off the Land" (PowerShell, WMI, schtasks)
  • Identification des malwares timestampés et cachés
  • Détection des artefacts laissés par l’attaquant (commande, chemins, scripts)
  • Travaux pratiques : extraction et parsing des hives Windows à l’aide de RegRipper
  • Travaux pratiques : analyse comparative entre un registre propre et compromis
  • Travaux pratiques : Détection de persistances PowerShell et scheduled tasks malveillantes
Timeline Forensics et corrélation temporelle (5 heures)
  • Création de timelines à partir de divers artefacts : journaux, MFT, Prefetch, LNK, shellbags
  • Reconstruction d’une chronologie d’événements malveillants
  • Détection de pivots et mouvements latéraux sur base temporelle
  • Analyse des fichiers supprimés et restauration (VSS, Shadow Copies)
  • Travaux pratiques : création d’une timeline complète avec Plaso/Log2timeline
  • Travaux pratiques : reconstitution d’une attaque (exploitation → persistence → C2)
  • Travaux pratiques : récupération de fichiers supprimés via analyse de Volume Shadow Copy
Chasse aux comportements d’attaquants (Threat Hunting) (5 heures)
  • Identification d’activités malicieuses sans signature : TTPs d’APT, ransomware
  • Recherche d’attaques sans malware (LOLbins, scripts légitimes abusés)
  • Analyse comportementale des utilisateurs et des processus
  • Corrélation avec MITRE ATT&CK et détection de beaconing
  • Travaux pratiques : analyse comportementale d’un utilisateur compromis (shellbags, login, prefetch)
  • Travaux pratiques : détection d’un mouvement latéral via artefacts systèmes
  • Travaux pratiques : Chasse au beaconing dans les journaux réseau d’un poste
Utilisation avancée de Velociraptor et de PowerShell IR (6 heures)
  • Déploiement et configuration de Velociraptor pour IR à grande échelle
  • Utilisation de requêtes VQL pour collecter et analyser les artefacts ciblés
  • PowerShell pour l’IR : collecte automatisée, scripts de remédiation
  • Scénario de réponse sur 100+ machines compromises
  • Travaux pratiques : collecte distante d’artefacts avec Velociraptor (autoruns, logs, processus)
  • Travaux pratiques : création et exécution de scripts PowerShell d’investigation
  • Travaux pratiques : détection d’une attaque multi-systèmes + réponse centralisée
Exfiltration, élévation de privilèges et remédiation (5 heures)
  • Détection des outils d’exfiltration utilisés (certutil, rclone, FTP, DNS tunneling)
  • Analyse d’élévation de privilèges (token stealing, UAC bypass, privilege escalation)
  • Traçabilité des accès administrateurs et des escalades de droits
  • Élaboration d’un plan de remédiation global post-incident
  • Travaux pratiques : analyse réseau + artefacts pour détecter une exfiltration via DNS
  • Travaux pratiques : corrélation entre logs système et artefacts pour comprendre l’escalade de privilèges
  • Travaux pratiques : rédaction d’un rapport de remédiation technique après compromission

Équipe pédagogique

Professionnel expert technique et pédagogique.