Abstract

Que ce soit pour permettre d'allonger la durée d'accès à un système compromis ou pour garantir l'efficacité d'un ransomware, les acteurs malicieux usent de nombreuses techniques pour camoufler leur présence au sein de l'infrastructure de leur victimes. Pour cela, deux approches se démarquent : d'une part, le DLL Search Order Hijacking, consistant à abuser du mécanisme de chargement de bibliothèques dynamiques de Windows pour exécuter du code malicieux au sein d'un exécutable de confiance et d'autre part les techniques de Living-off-the-Land, où les attaquants abusent des fonctionnalités de divers outils et programmes déjà présents sur les systèmes ciblés pour perpétrer leurs actions malicieuses, limitant ainsi le besoin d'y mettre en place des programmes malveillants pouvant faire l'objet de détections. Au cours de ma thèse, j'ai travaillé séquentiellement sur ces deux sujets, proposant un mécanisme de protection contre le DSOH, puis un cadre permettant de combiner les informations provenant des lignes de commande et les traces d'appels systèmes pour permettre la détection de comportements de haut niveau dans les interaction de programmes connus / de confiance.

Bio

Antonin Verdier est un ingénieur en réseaux informatiques et télécommunications, actuellement en dernière année de thèse sur la problématique de la détection d'attaques living-off-the-land. Ses travaux académiques sont centrés sur la sécurité logicielle et il enseigne actuellement au sein du département Sciences du Numérique de l'ENSEEIHT, à Toulouse.