{"id":23281,"date":"2025-10-10T16:44:52","date_gmt":"2025-10-10T14:44:52","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=23281"},"modified":"2025-10-10T16:44:52","modified_gmt":"2025-10-10T14:44:52","slug":"dll-hijacking-in-kaspersky-siem","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/dll-hijacking-in-kaspersky-siem\/23281\/","title":{"rendered":"D\u00e9tection du d\u00e9tournement de DLL"},"content":{"rendered":"<p>Pour \u00e9chapper \u00e0 la d\u00e9tection par les solutions de s\u00e9curit\u00e9, les cybercriminels utilisent diverses techniques qui masquent leurs activit\u00e9s malveillantes. L\u2019une des m\u00e9thodes de plus en plus utilis\u00e9es ces derni\u00e8res ann\u00e9es dans les attaques contre les syst\u00e8mes Windows est le <a href=\"https:\/\/attack.mitre.org\/techniques\/T1574\/001\/\" target=\"_blank\" rel=\"noopener nofollow\">d\u00e9tournement de DLL<\/a> : il s\u2019agit de remplacer les biblioth\u00e8ques de liens dynamiques (DLL) par des biblioth\u00e8ques malveillantes. Or, les outils de s\u00e9curit\u00e9 traditionnels ne d\u00e9tectent souvent pas l\u2019utilisation de cette technique. Pour r\u00e9soudre ce probl\u00e8me, nos coll\u00e8gues du Kaspersky AI Technology Research Center ont d\u00e9velopp\u00e9 un mod\u00e8le de machine learning capable de d\u00e9tecter les d\u00e9tournements de DLL avec une grande pr\u00e9cision. Ce mod\u00e8le a d\u00e9j\u00e0 \u00e9t\u00e9 mis en \u0153uvre dans la derni\u00e8re version de notre <a href=\"https:\/\/www.kaspersky.fr\/enterprise-security\/unified-monitoring-and-analysis-platform?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">syst\u00e8me SIEM, la plateforme Kaspersky Unified Monitoring and Analysis Platform<\/a>. Dans cet article, nous expliquons les d\u00e9fis li\u00e9s \u00e0 la d\u00e9tection du d\u00e9tournement de DLL et comment notre technologie les aborde.<\/p>\n<h2>Comment fonctionne le d\u00e9tournement de DLL et pourquoi il est difficile \u00e0 d\u00e9tecter<\/h2>\n<p>Le lancement soudain d\u2019un fichier inconnu dans un environnement Windows attire in\u00e9vitablement l\u2019attention des outils de s\u00e9curit\u00e9, ou est tout simplement bloqu\u00e9. Essentiellement, le d\u00e9tournement de DLL consiste \u00e0 faire passer un fichier malveillant pour un fichier connu et fiable. Il existe plusieurs variantes du d\u00e9tournement de DLL. Dans un cas, les pirates distribuent une biblioth\u00e8que malveillante avec un logiciel l\u00e9gitime (<a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/dll-sideloading\/\" target=\"_blank\" rel=\"noopener\">parachargement de DLL<\/a>) afin que le logiciel l\u2019ex\u00e9cute. Dans un autre cas, ils remplacent les DLL standard appel\u00e9es par des programmes d\u00e9j\u00e0 install\u00e9s sur l\u2019ordinateur. Enfin, il est \u00e9galement possible de manipuler les m\u00e9canismes syst\u00e8me qui d\u00e9terminent l\u2019emplacement de la biblioth\u00e8que qu\u2019un processus charge et ex\u00e9cute. Le fichier DLL malveillant est alors lanc\u00e9 par un processus l\u00e9gitime dans son propre espace d\u2019adressage et avec ses propres privil\u00e8ges. Les syst\u00e8mes de protection des terminaux habituels consid\u00e8rent donc cette activit\u00e9 comme l\u00e9gitime. C\u2019est pourquoi nos experts ont d\u00e9cid\u00e9 de contrer cette menace en utilisant les technologies d\u2019IA.<\/p>\n<h2>D\u00e9tection du d\u00e9tournement de DLL \u00e0 l\u2019aide du ML<\/h2>\n<p>Les experts du AI Technology Research Center ont form\u00e9 un mod\u00e8le ML pour d\u00e9tecter le d\u00e9tournement de DLL \u00e0 partir d\u2019informations indirectes sur la biblioth\u00e8que et le processus qui l\u2019a appel\u00e9e. Ils ont identifi\u00e9 les indicateurs cl\u00e9s d\u2019une tentative de manipulation d\u2019une biblioth\u00e8que\u00a0: si le fichier ex\u00e9cutable et la biblioth\u00e8que se trouvent dans des chemins d\u2019acc\u00e8s standard, si le fichier a \u00e9t\u00e9 renomm\u00e9, si la taille et la structure de la biblioth\u00e8que ont chang\u00e9, si sa signature num\u00e9rique est intacte, etc. Ils ont d\u2019abord entra\u00een\u00e9 le mod\u00e8le \u00e0 partir de donn\u00e9es li\u00e9es au chargement des biblioth\u00e8ques de liens dynamiques, provenant \u00e0 la fois de syst\u00e8mes d\u2019analyse automatique internes et de donn\u00e9es t\u00e9l\u00e9m\u00e9triques anonymis\u00e9es provenant de <a href=\"https:\/\/www.kaspersky.fr\/ksn\" target=\"_blank\" rel=\"noopener\">Kaspersky Security Network (KSN)<\/a> et fournies volontairement par nos utilisateurs. Pour l\u2019\u00e9tiquetage, nos experts ont utilis\u00e9 les donn\u00e9es issues de nos bases de donn\u00e9es sur la r\u00e9putation des fichiers.<\/p>\n<p>Le premier mod\u00e8le \u00e9tait assez impr\u00e9cis, donc avant de l\u2019ajouter \u00e0 la solution, nos experts ont proc\u00e9d\u00e9 \u00e0 plusieurs it\u00e9rations, affinant \u00e0 la fois l\u2019\u00e9tiquetage de l\u2019ensemble de donn\u00e9es d\u2019apprentissage et les caract\u00e9ristiques qui signalent un d\u00e9tournement de DLL. Le mod\u00e8le d\u00e9tecte d\u00e9sormais cette technique avec une grande pr\u00e9cision. Sur Securelist, nos coll\u00e8gues ont publi\u00e9 un <a href=\"https:\/\/securelist.com\/building-ml-model-to-detect-dll-hijacking\/117565\/\" target=\"_blank\" rel=\"noopener\">article d\u00e9taill\u00e9<\/a> sur la mani\u00e8re dont ils ont d\u00e9velopp\u00e9 cette technologie, de l\u2019hypoth\u00e8se initiale aux tests effectu\u00e9s dans <a href=\"https:\/\/www.kaspersky.fr\/enterprise-security\/managed-detection-and-response?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Managed Detection and Response<\/a>, jusqu\u2019\u00e0 son application pratique dans notre plateforme SIEM.<\/p>\n<h2>D\u00e9tection de tentative de d\u00e9tournement de DLL dans Kaspersky SIEM<\/h2>\n<p>Dans le syst\u00e8me SIEM, le mod\u00e8le analyse les m\u00e9tadonn\u00e9es des DLL charg\u00e9es et des processus qui les ont appel\u00e9es \u00e0 partir de la t\u00e9l\u00e9m\u00e9trie, signale les anomalies, puis valide ses conclusions en les comparant aux donn\u00e9es du cloud de KSN. Cela am\u00e9liore non seulement la pr\u00e9cision de la d\u00e9tection des d\u00e9tournements de DLL, mais r\u00e9duit \u00e9galement le nombre de faux positifs. Le mod\u00e8le peut fonctionner \u00e0 la fois dans le sous-syst\u00e8me de corr\u00e9lation et dans le sous-syst\u00e8me de collecte d\u2019\u00e9v\u00e9nements.<\/p>\n<p>Dans le premier cas, il v\u00e9rifie uniquement les \u00e9v\u00e9nements qui ont d\u00e9j\u00e0 d\u00e9clench\u00e9 des r\u00e8gles de corr\u00e9lation. Cela permet une \u00e9valuation plus pr\u00e9cise des menaces et une g\u00e9n\u00e9ration plus rapide des alertes si n\u00e9cessaire. \u00c9tant donn\u00e9 que tous les \u00e9v\u00e9nements ne sont pas v\u00e9rifi\u00e9s, le volume des requ\u00eates cloud n\u2019a pas d\u2019impact important sur la vitesse de r\u00e9ponse du mod\u00e8le.<\/p>\n<p>Dans le second cas, le mod\u00e8le traite tous les \u00e9v\u00e9nements de chargement de biblioth\u00e8que qui r\u00e9pondent \u00e0 certaines conditions. Cette m\u00e9thode consomme davantage de ressources, mais s\u2019av\u00e8re tr\u00e8s utile pour la recherche r\u00e9trospective des menaces.<\/p>\n<p>Dans un autre article publi\u00e9 sur le blog Securelist, nos coll\u00e8gues du groupe Anti-Malware Research ont <a href=\"https:\/\/securelist.com\/detecting-dll-hijacking-with-machine-learning-in-kaspersky-siem\/117567\/\" target=\"_blank\" rel=\"noopener\">pr\u00e9sent\u00e9 en d\u00e9tail<\/a> comment le mod\u00e8le de d\u00e9tection des d\u00e9tournements de DLL aide Kaspersky SIEM \u00e0 d\u00e9tecter les attaques cibl\u00e9es, en s\u2019appuyant sur des exemples concrets de d\u00e9tection pr\u00e9coce d\u2019incidents.<\/p>\n<p>Plus important encore, la pr\u00e9cision du mod\u00e8le ne cessera de s\u2019am\u00e9liorer \u00e0 mesure que davantage de donn\u00e9es sur les menaces et les processus l\u00e9gitimes s\u2019accumulent et que les algorithmes KSN \u00e9voluent.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"mdr\" value=\"22895\">\n","protected":false},"excerpt":{"rendered":"<p>Nos experts ont form\u00e9 un mod\u00e8le ML pour d\u00e9tecter les tentatives d&rsquo;utilisation du d\u00e9tournement de DLL et l&rsquo;ont int\u00e9gr\u00e9 au syst\u00e8me SIEM de Kaspersky.<\/p>\n","protected":false},"author":2706,"featured_media":23282,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150],"tags":[4564,4563,4163,4347,3522],"class_list":{"0":"post-23281","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-ai-technology-research","10":"tag-dll","11":"tag-ml","12":"tag-ram","13":"tag-siem"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/dll-hijacking-in-kaspersky-siem\/23281\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/dll-hijacking-in-kaspersky-siem\/29705\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/dll-hijacking-in-kaspersky-siem\/24776\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/dll-hijacking-in-kaspersky-siem\/12866\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/dll-hijacking-in-kaspersky-siem\/29593\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/dll-hijacking-in-kaspersky-siem\/28642\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/dll-hijacking-in-kaspersky-siem\/31527\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/dll-hijacking-in-kaspersky-siem\/30185\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/dll-hijacking-in-kaspersky-siem\/40637\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/dll-hijacking-in-kaspersky-siem\/13884\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/dll-hijacking-in-kaspersky-siem\/54534\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/dll-hijacking-in-kaspersky-siem\/32802\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/dll-hijacking-in-kaspersky-siem\/29807\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/dll-hijacking-in-kaspersky-siem\/35536\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/dll-hijacking-in-kaspersky-siem\/35160\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/siem\/","name":"siem"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23281","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=23281"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23281\/revisions"}],"predecessor-version":[{"id":23283,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23281\/revisions\/23283"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/23282"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=23281"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=23281"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=23281"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}