Moteur de détection DLL Sideloading Sidewatch

Le moteur Sidewatch détecte les attaques utilisant des techniques de DLL Sideloading.

Le DLL Sideloading (ou chargement latéral de DLL) est une technique fréquemment utilisée pour des attaques avancées comme pour du cybercrime. Elle consiste à se servir d’un exécutable légitime pour charger une librairie malveillante.

Plus précisément, les attaquants profitent de vulnérabilités des exécutables et du fait qu’ils sont considérés comme fiables ou signés, et donc moins surveillés, pour exécuter des charges malveillantes sans être détectés par les outils de sécurité.

La charge malveillante peut être intégrée à une DLL légitime, et elle peut être chiffrée, compressée ou obfusquée pour tenter d’échapper à la détection.

Pour parer à cette éventualité, le moteur Sidewatch observe les comportements et l’activité relative aux fichiers .dll.

Les exécutables légitimes ainsi que les fichiers .dll sont extrêmement nombreux, et maintenir une liste de règles de blocage qui couvrirait tous les cas possibles est beaucoup trop fastidieux.
Par ailleurs, cette approche ne permet pas de faire face aux menaces efficacement étant donné l’évolution constante des combinaisons possibles entre les exécutables et les fichiers .dll.

Dans ce contexte, et pour assurer une protection efficace contre le DLL Sideloading, le moteur Sidewatch se base sur l'analyse des activités liées aux librairies et les corrèle pour détecter les événements suspects : activité précédant le chargement d’une librairie, écriture, signature, auteur, localisation et contenu des dossiers...
Ainsi, via l’analyse des comportements, les menaces potentielles, même inconnues, sont identifiées en vue de les bloquer.