Better Understanding Malware through a Deep Analysis of the Infection Chain

De nos jours, l'Internet fait partie de la vie courante d'une grande majorité de personnes, et de plus en plus d'entreprises l'utilisent à travers leurs activités quotidiennes. De plus, de nombreuses institutions importantes, telles que les hôpitaux, se modernisent et implémentent des systèmes se connectant à l'Internet. Les logiciels malveillants ont donc maintenant un large éventail de victimes potentielles, et ont la possibilité de causer des dommages considérables dans plusieurs entreprises. Bien que les firmes d'antivirus développent des signatures ainsi que des heuristiques de détection pour les logiciels malveillants, les cybercriminels améliorent constamment leurs logiciels afin de contourner les logiciels de sécurité. Ces logiciels malveillants représentent donc toujours, à ce jour, une grande menace. Dans cette thèse, nous analysons la chaîne complète d'infection d'exploitation par logiciel malveillant à travers ses différentes étapes, dans le but de mieux comprendre l'écosystème des acteurs malveillants et leurs opérations. Premièrement, nous mettons l'accent sur l'attraction de victimes en établissant des communautés d'intérêts dans les réseaux sociaux et en classifiant les messages malveillants selon leurs sujets et leur chemin de diffusion à travers ces communautés. Les travaux antérieurs ont mis l'accent sur la construction de modèles de détection utilisant des caractéristiques issues du contenu de messages ou des caractéristiques du compte, ce qui peut être contourné par les attaquants en modifiant leurs messages malveillants en conséquence. Nous présentons une nouvelle approche détectant les spams sur les réseaux sociaux en modélisant la façon dont un message circule à travers des communautés. Nous soutenons que la façon dont un message légitime circule à travers les réseaux sociaux est plus difficile à simuler pour les attaquants.

Abstract

Nowadays, the Internet is part of a large majority of people's daily life, and more and more businesses use it in their daily activities. Moreover, many important institutions, such as hospitals, are modernizing themselves and implementing systems that connect to the Internet. Thus, malicious software, i.e., malware, now has a large pool of potential victims, and has the potential to do considerable damage in many businesses. Although antivirus companies develop malware signatures and detection heuristics to address this issue, cybercriminals constantly update their malware in order to evade security software. Thus, to this day, malware still presents a large threat. In this thesis, we analyze the entire malware exploitation infection chain through its different steps in order to better understand the ecosystem of malicious actors and their operations. First, we focus on the attraction of victims by establishing communities of interests in social networks and classifying malicious messages according to their topics and diffusion paths through these communities. Previous research focused on building detection models using features derived from message content or account caracteristics, which can be circumvented by attackers by modifying their malicious messages accordingly. We present a novel approach which detects spam messages on social networks by modeling the way in which a message travels through communities. We argue that the way a legitimate message spreads through online social networks is harder to simulate for attackers.