Extensions usurpées

Description: Cette technique courante et relativement simple consiste à déguiser un fichier exécutable (généralement , mais cela peut aussi s’appliquer à des scripts comme ou ) en modifiant son extension de fichier pour quelque chose d’apparemment anodin ou sans rapport. Par exemple, peut être renommé en , , , , ou même simplement (sans extension)..exe .bat .ps1 SuperClicker.exe important_notes.txt config.dll logo.png tempdata.tmp mydata

Mécanisme: Le contournement repose sur le fait que, alors que double-cliquer sur un fichier dépend généralement de son extension pour l’exécution, Windows propose des méthodes alternatives pour lancer des processus qui ne dépendent pas uniquement de l’extension. Les méthodes courantes incluent :.exe

• En utilisant des commandes PowerShell comme .Start-Process C:\path\to\renamed_file.tmp

• Utilisation de commandes spécifiques d’instrumentation de gestion Windows (WMI), en particulier .wmic process call create "C:\path\to\renamed_file.dat"

• Utiliser des tâches planifiées ou d’autres méthodes de script qui spécifient exactement le fichier à exécuter, indépendamment de l’extension.

Pourquoi les tricheurs l’utilisent : L’objectif est d’éviter les scans visuels simples et les outils automatisés qui peuvent principalement signaler ou rechercher des extensions exécutables standard comme . Un dossier nommé ou est moins susceptible de susciter des soupçons immédiats que ..exegraphics.dllimage.pngMegaAimAssist.exe

Détection:

• Analyse des prélectures : Comme mentionné précédemment, Prefetch enregistre souvent encore l’exécution mais sous le nom usurpé (par exemple, ). Trouver des non-fichiers dans Prefetch est un signal d’alarme majeur.LOGO.PNG-HASH.pf .exe

• Analyse de la mémoire de processus : Des outils comme System Informer, lorsqu’ils sont utilisés pour rechercher en mémoire de service (notamment , ), peuvent révéler les chemins complets des fichiers exécutés, y compris ceux avec des extensions usurpées, en utilisant des motifs réguliers appropriés (par exemple, dans DPS, ou des recherches larges dans ).csrss.exe dps ^!![A-Z]((?!Exe).)*$ csrss

• Analyse de signature/contenu : Effectuer des vérifications de signature (comme le script Signature Checker de BACA) sur tous les fichiers suspects trouvés (quelle que soit leur extension) permet d’identifier des exécutables déguisés en d’autres types de fichiers (ils apparaîtront comme « NotSigned » ou « HashMismatch » si une fausse signature a été tentée). Des outils comme ou la recherche de contenu de fichiers pour les en-têtes PE () dans Search Everything peuvent également exposer des exécutables déguisés.Detect It Easy content:"This program cannot be run in DOS mode."

• Journaux d’exécution : BAM, le cache des activités, et parfois les journaux d’événements peuvent enregistrer l’exécution sous le nom usurpé.