Modern Malware OPSEC & Anti-Reverse Techniques Implementation and Reversing

Instructeurs:  Silvio La Porta & Antonio Villani
Dates:  15 au 18 juin 2026
Capacité:  25

Le cours présente une description approfondie des techniques implémentées dans les logiciels malveillants modernes pour échapper aux défenseurs et aux produits de sécurité (tels que AV, IPS, IDS, EDR), et comment les attaquants conçoivent et opèrent leurs implants afin d'assurer un redéploiement rapide après une détection ou une divulgation publique par des chercheurs ou des fournisseurs de sécurité.

Le cours couvrira également des scénarios du monde réel qui entravent (ralentissent efficacement ou dissuadent) les efforts de rétro-ingénierie et rendent le travail des premiers intervenants plus difficile. Les techniques seront démontrées de deux manières: d'abord, en faisant de la rétro-ingénierie sur de vrais échantillons de logiciels malveillants, puis en réimplémentant une version améliorée du code malveillant. La formation est conçue du point de vue d'un attaquant, enseignant aux équipes rouges comment rendre leurs implants plus furtifs, mais elle enseignera également aux défenseurs comment gérer les techniques anti-rétro-ingénierie et OPSEC démontrées en classe.

Le cours se concentre principalement sur les logiciels malveillants Windows et sur l'analyse, l'ajustement et la réutilisation d'échantillons réels de logiciels malveillants. Les participants recevront beaucoup de code personnalisé pour faciliter la compréhension des techniques complexes de logiciels malveillants.

Dans le cadre du cours, les sessions théoriques seront suivies d'exercices où les participants font de la rétro-ingénierie et réimplémentent des parties spécifiques de vrais logiciels malveillants afin de comprendre pleinement les coins cachés de toutes les techniques impliquées. 50% du cours sera dédié à des laboratoires pratiques qui montreront comment traduire les principes théoriques en pratique.

Les laboratoires sont conçus pour offrir de la flexibilité en termes de complexité et incluent des pistes bonus pour s'assurer que vous vous sentiez toujours engagé et que vous ayez quelque chose d'intéressant à explorer et à apprendre.

Programme du cours

• Jour 1: Fondamentaux OPSEC et introduction à l'anti-analyse
  • Introduction aux principes OPSEC modernes
  • Techniques d'évasion AV/EDR
  • Obfuscation de code et anti-désassemblage
  • Techniques anti-débogage de base
  • Lab: Analyse et réimplémentation de techniques d'évasion simples
• Jour 2: Techniques d'évasion avancées
  • Évasion de sandbox et détection d'environnement virtuel
  • Techniques d'injection de processus avancées
  • Contournement de hooks EDR
  • Appels système directs et indirects
  • Lab: Réimplémentation de techniques d'évasion EDR à partir d'échantillons réels
• Jour 3: Anti-rétro-ingénierie et persistance
  • Techniques anti-rétro-ingénierie avancées
  • Mécanismes de persistance furtifs
  • Chiffrement et obfuscation de payload
  • Techniques de communication C2
  • Lab: Construction d'un implant avec plusieurs couches d'anti-analyse
• Jour 4: OPSEC opérationnelle et scénarios du monde réel
  • Conception d'implants résilients
  • Stratégies de redéploiement après détection
  • Analyse de campagnes APT réelles
  • Meilleures pratiques pour la défense contre les techniques enseignées
  • Lab: Projet final - Construction et analyse d'un implant complet

Exigences matérielles/logicielles

• Ordinateur portable avec au moins 16 Go de RAM
• Au moins 50 Go d'espace disque disponible
• Capacité d'exécuter des machines virtuelles
• Windows 10/11 (VM ou natif)

Prérequis

• Connaissance de base des internes Windows
• Expérience en programmation C/C++
• Familiarité avec les outils de rétro-ingénierie (IDA Pro, Ghidra, x64dbg)
• Compréhension de base de l'analyse de logiciels malveillants

Objectifs d'apprentissage

• Comprendre et implémenter des techniques OPSEC modernes pour les implants
• Maîtriser les techniques d'évasion AV/EDR avancées
• Apprendre à analyser et contrer les techniques anti-rétro-ingénierie
• Développer des compétences pour concevoir des implants résilients et furtifs

Qui devrait suivre ce cours

• Membres d'équipe rouge
• Analystes de logiciels malveillants
• Chercheurs en sécurité
• Professionnels de la défense cherchant à comprendre les tactiques d'attaquants

BIO

Silvio La Porta est PDG et co-fondateur chez RETooling, définissant et développant une plateforme d'émulation d'acteurs de menace permettant aux équipes rouges de recréer des scénarios d'attaque réalistes. Précédemment, il était architecte senior en cybersécurité, concevant des produits de sécurité et recherchant des technologies de détection avancées pour les logiciels malveillants/APT complexes. Silvio était auparavant chercheur scientifique principal chez EMC Research Europe basé au Centre d'Excellence à Cork, Irlande. Ses principaux domaines de recherche étaient la surveillance réseau en temps réel et l'analyse de données dans les smart grids pour détecter l'activité de logiciels malveillants dans les systèmes SCADA et les réseaux d'entreprise. Il dirigeait également des projets de Service Level Agreement de sécurité (Sec-SLA) et de magasin de données protégées de sécurité/confidentialité des utilisateurs finaux pour environnement Cloud hybride. Il est un conférencier fréquent dans les conférences professionnelles et industrielles. Avant de rejoindre EMC, Silvio a travaillé comme rétro-ingénieur de logiciels malveillants dans l'équipe Security Response de Symantec à Dublin, Irlande. Silvio détient un doctorat en sécurité de réseaux informatiques de l'Université de Pise, Italie.

Dr. Antonio Villani est le co-fondateur de RETooling. Il travaille à temps plein sur le développement de capacités d'équipe rouge et d'émulation d'adversaires pour son entreprise. Précédemment, il passait la plupart de son temps dans l'équipe bleue, faisant de la rétro-ingénierie sur des implants de haut niveau pour des clients de premier plan et fournissant des informations détaillées pour soutenir les équipes de cyberdéfense et de cyber threat intelligence. Maintenant, il analyse des implants complexes pour acquérir une compréhension approfondie des TTP utilisés par les acteurs de menace et pour fournir une réimplémentation de haute qualité de ceux-ci. En tant que chercheur, il a publié dans des conférences et revues de premier plan, et il a participé à des projets de recherche européens dans le domaine de la cyber-résilience et de la sécurité des données. Pendant son doctorat, il a travaillé dans le domaine de la recherche sur les logiciels malveillants et de la criminalistique numérique.

Pour s'inscrire

Cliquez ici pour vous inscrire.