You are here

Visualisation pour la supervision de sécurité des systèmes d’information/Analysis and detection of the ransomware

Vous êtes cordialement invités à venir assister à la soutenance de thèse de Aurélien Palisse (équipe CIDRE) qui se tiendra le lundi 4 mars 2019 à 14h00 en salle Michel Métivier.

Titre : Visualisation pour la supervision de sécurité des systèmes d’information/Analysis and detection of the ransomware

Résumé :

La thèse s’intéresse aux logiciels de rançon, présente une plateforme d’analyse automatique
et propose des contre-mesures. Nos contre-mesures sont conçues pour être temps réel
et déployées sur une machine, c’est-à-dire “End-Hosts”. En 2013 les logiciels de rançon font de
nouveau parler d’eux, pour finalement devenir une des menaces les plus sérieuses à partir de 2015.
Un état de l’art détaillé des contre-mesures existantes est fourni. On peut ainsi situer les contributions
de cette thèse par rapport à la littérature. Nous présentons également une plateforme d’analyse
automatique de logiciels malveillants composée de machines nues. L’objectif est de ne pas
altérer le comportement des échantillons analysés. Une première contre-mesure basée sur l’utilisation
d’une librairie cryptographique par les logiciels de rançon est proposée. Celle-ci peut être
facilement contournée. Nous proposons donc une seconde contre-mesure générique et agnostique.
Cette fois, des indicateurs de compromission sont utilisés pour analyser le comportement des processus
sur le système de fichiers. Nous détaillons comment de manière empirique nous avons paramétré
cette contre-mesure pour la rendre : utilisable et efficace. Un des challenges de cette thèse
étant de faire concilier performance, taux de détection et un faible taux de faux positifs. Enfin, les résultats
d’une expérience utilisateur sont présentés. Cette expérience analyse le comportement des utilisateurs
face à une menace. En dernière partie, nous proposons des améliorations à nos contributions
mais aussi des pistes à explorer.

Abstract :

This phD thesis takes a look at ransomware, presents an autonomous malware
analysis platform and proposes countermeasures against these types of attacks. Our countermeasures
are real-time and are deployed on a machine (i.e., end-hosts). In 2013, the ransomware become
a hot subject of discussion again, before becoming one of the biggest cyberthreats beginning of 2015.
A detailed state of the art for existing countermeasures is included in this thesis. This state of the
art will help evaluate the contribution of this thesis in regards to the existing current publications.
We will also present an autonomous malware analysis platform composed of bare-metal machines.
Our aim is to avoid altering the behaviour of analysed samples. A first countermeasure based on
the use of a cryptographic library is proposed, however it can easily be bypassed. It is why we propose
a second generic and agnostic countermeasure. This time, compromission indicators are used
to analyse the behaviour of process on the file system. We explain how we configured this countermeasure
in an empiric way to make it useable and effective. One of the challenge of this thesis is to collate performance,
detection rate and a small amount of false positive. To finish, results from a user experience are presented.
This experience analyses the user’s behaviour when faced with a threat. In the final part, I propose ways to enhance
our contributions but also other avenues that could be explored

Speaker: 
Aurélien Palisse (CIDRE)
Date: 
Monday, 4. March 2019 - 14:00 to 19:00
Place: 
IRISa Rennes, Salle Michel Métivier
Defense Type: 
Composition of jury: 
  • Christophe Clavier, Professeur à l'Université de Limoges
  • Ryan Peter, Professeur à l'Université du Luxembourg
  • Davide Balzarotti, Professeur à Eurecom
  • Hélène Le Bouder, Maitre de Conférences à IMT Atlantique Bretagne-Pays de la Loire
  • Colas Le Guernic, Sekoia
  • Lanet Jean-Louis, Directeur LHS, Inria-RBA