Titre du projet de recherche
Chasse aux menaces intégrée : détection automatique du chargement latéral des DLL et des indicateurs de commande et de contrôle
Niveau d'étude
Maîtrise recherche
Directeur/codirecteur
Directeur : Omar Abdul Wahab
Fin de l'affichage
31 mars 2026
Domaines d'expertise
Unité(s) et département(s)
Département de génie informatique et génie logiciel
Conditions
Date de début : automne 2025 ou hiver 2026
Durée du projet : 2 ans
Le projet est industriel et demande une interaction avec le partenaire industriel.
Expérience (ou bonne connaissance) en cybersécurité défensive requise.
Pour postuler, envoyez votre CV et relevé de notes à omar.abdul-wahab@polymtl.ca
Description détaillée
Les cyberattaques impliquent la perturbation/compromission des systèmes informatiques pour imposer un impact malveillant (par exemple, le vol d'informations confidentielles, la perturbation du fonctionnement normal, l'espionnage). L'utilisation de logiciels malveillants à cette fin est répandue car elle permet aux attaquants de faciliter de nombreuses étapes d'une cyberattaque (par exemple, l'escalade des privilèges, la persistance, l'exfiltration de données d'intérêt).
Il existe plusieurs moyens de détecter et de bloquer les opérations de logiciels malveillants. Les détections basées sur les fichiers et sur la mémoire permettent de détecter et de bloquer les logiciels malveillants chaque fois qu'ils sont écrits ou consultés à partir du disque ou de la mémoire respectivement. Cependant, de telles détections peuvent échouer avec des implants malveillants provenant de familles de logiciels malveillants inconnues. Dans le cas où un implant n'est pas détecté à l'origine sur le disque ou dans la mémoire, des lignes de défense supplémentaires existent, notamment des détections comportementales et des détections basées sur le réseau.
Le chargement latéral de DLL est une technique fréquemment utilisée par les acteurs de la menace pour charger des DLL malveillantes à partir d'un exécutable légitime (et parfois signé) d'un fournisseur de confiance en déployant la DLL malveillante aux côtés de l'exécutable légitime. La génération automatique d'indicateurs pour suivre les DLL malveillantes prêtes à être chargées latéralement par des exécutables légitimes pourrait aider à détecter l'utilisation de cette technique à l'aide de détections comportementales et à bloquer les logiciels malveillants lors de leur étape de chargement. En ce qui concerne la détection basée sur le réseau, l'identification et l'extraction automatiques des adresses des serveurs de commande et de contrôle (C&C) à partir d'échantillons de logiciels malveillants permettent de bloquer rapidement la communication des logiciels malveillants. Ces adresses sont cruciales pour comprendre et surveiller les activités des botnets. L'automatisation de ce processus d'extraction permet d'améliorer les efforts de détection et d'atténuation contre ces familles de logiciels malveillants, garantissant que leurs activités peuvent être efficacement bloquées.
Cette proposition de recherche vise à s'attaquer à la fois à la détection du chargement latéral des DLL et à l'extraction automatique des adresses C&C pour améliorer les détections de logiciels malveillants à des étapes cruciales de leur déploiement en utilisant à la fois des capacités de détection comportementales et basées sur le réseau. Cette recherche contribuera également à améliorer les capacités de recherche des menaces et notre compréhension des campagnes malveillantes.
Possibilité de financement
Financement disponible
