Mécanismes d’évasion

  • Vivre de la terre (LotL) : Les scripts s’exécutent avec des interpréteurs Windows intégrés de confiance (, , / pour VBS, pour HTA) ou des scripts couramment installés (, ). Puisque les interprètes sont légitimes, leur exécution est moins susceptible d’être immédiatement signalée par un antivirus de base comparé à un logiciel complètement inconnu.powershell.exe cmd.exe cscript.exe wscript.exe mshta.exe python.exe AutoIt3.exe .exe

  • Exécution sans fichiers (PowerShell Focus) : PowerShell est particulièrement puissant car il permet de télécharger et exécuter du code (cmdlets, scripts) directement en mémoire sans jamais toucher au disque. Les commandes encodées peuvent être transmises via la ligne de commande (), minimisant ainsi les artefacts du disque.powershell.exe -EncodedCommand ...

  • Obscurcissement: Les scripts sont basés sur du texte et facilement obscurcissables. Les techniques incluent :

    • Encodage (Base64 est courant dans PowerShell).

    • Substitution/concaténation de caractères.

    • Décomposant la logique en de nombreuses petites fonctions au nom confus.

    • Ajouter du code indésirable ou des commentaires. Cela entrave l’analyse statique (lecture du code du script) et les recherches simples de chaînes.

  • Automatisation des tâches malveillantes : Les scripts excellent dans l’automatisation des séquences d’actions pertinentes pour contourner les partages d’écran, telles que :

    • Désactiver les services de sécurité ou des mécanismes de journalisation spécifiques (par exemple, arrêter SysMain, effacer les journaux d’événements via ).wevtutil

    • Suppression de fichiers ou d’artefacts spécifiques (par exemple, fichiers de prélecture, historique du navigateur, journaux de triche, clés de registre via ).reg delete

    • Modification des paramètres système (par exemple, modification des attributs de fichiers, des politiques du registre).

    • Télécharger et exécuter des charges utiles secondaires (par exemple, utiliser des PowerShell ou appeler depuis un script).Invoke-WebRequest certutil.exe

  • Interaction avec les composants du système : Les scripts peuvent interagir directement avec des interfaces système puissantes :

    • Les API Windows (via l’intégration .NET de PowerShell ou des objets COM spécifiques).

    • Instrumentation de gestion Windows (WMI) pour les requêtes système, les modifications de configuration ou l’exécution à distance.

    • COM Objects pour interagir avec diverses applications et composants système.

    • .NET Framework pour des opérations complexes, la manipulation de la mémoire ou le chargement d’assemblages.

  • Exploitation HTA : Les applications HTML (fichiers exécutés par ) exécutent des scripts intégrés (VBScript, JScript) en dehors du bac à sable du navigateur, souvent avec des privilèges plus élevés, permettant une interaction directe avec le système. Peut être utilisé comme chargeur livré via le web ou l’email..htams hta.exe

  • AutoIT Automation : AutoIt est un langage de script légitime pour l’automatisation de l’interface graphique de Windows. Les attaquants l’utilisent à mauvais tour pour créer des macros sophistiquées, des autoclickers ou des bots qui simulent les entrées de l’utilisateur. Les scripts AutoIt compilés () peuvent parfois être plus difficiles à rétroconcevoir que les scripts en texte brut..exe

PrécédentLogiciels malveillants sans fichiers et binaires de vie en dehors de la terre (LOLBins)SuivantImplications médico-légales et détection

Mis à jour