1. GRAZIANO Mariano
  2. GRAZIANO Mariano
print

GRAZIANO Mariano

GRAZIANO Mariano
La personne a quitté EURECOM
  • GRAZIANO Mariano

Thesis

Améliorations pour l'analyse mémoire et l'analyse de code malveillant

Au cours du temps, les cybercriminels ayant reconnu l'intérêt majeur de l'usage de l'Internet dans l'économie moderne, ont réalisé des activités lucratives au détriment des services en ligne. Pour conséquence, 317 millions de nouvelles variantes de logiciels malveillants ont été découverts en 2014. Ces logiciels malicieux ou “malware” ont causé des pertes financières significatives pour les entreprises et les particuliers. Une estimation des coûts est de l’ordre de 400 milliards de dollars pour l’année 2014. 
Les analyses modernes de logiciels malicieux sont très souvent effectuées de manière automatique; une minorité des malwares collectés sont analysés manuellement par des experts en rétro ingénierie. Ces logiciels malveillants sont surveillés dans des mécanismes de bacs à sable (Sandboxing). Ces bacs à sable sont des outils très pratiques et efficaces pour les analystes. Malheureusement ce procédé d'analyse offre bien souvent des limites dans l'étude de logiciel malveillant évolués. Pour cette raison, les analyses de logiciel malveillant sophistiqués sont souvent effectuées à partir d'éléments recueillis sur des ordinateurs infectés, au travers de capture ou "dump" mémoire.
Cette thèse propose des améliorations pour l'analyse mémoire et l'étude des logiciels malveillants modernes. Bien que ces champs de recherches aient déjà été abordées au travers de perspectives différentes ces dernières années, il existe toujours plusieurs aspects qui peuvent être améliorés de manière significative. En particulier les bacs à sable ou 'Sandboxing' peuvent être plus efficaces en utilisant des techniques de contention réseau plus granulaires. Ainsi les chercheurs peuvent surveiller les soumissions de logiciel malveillants dans les systèmes de bacs à sable en ligne, et prioritiser les analyses manuelles.
Dans le même esprit, l'analyse mémoire reste un domaine de recherche ouvert aux améliorations. Pour cela, nous proposons le premier framework logiciel permettant d'analyser des machines virtuelles et des hyperviseurs pour des configurations imbriquées. De plus, nous nous sommes appuyés sur des analyses mémoires pour faire face aux menaces avancées n’utilisant pas de technique d'injection de code.