Mécanisme d’évasion

Mécanisme d’évasion

  1. Création de tâches : Une tâche malveillante ou liée au contournement est créée à l’aide de l’interface graphique du planificateur des tâches, de l’outil en ligne de commande ou des cmdlets PowerShell ().schtasks.exe Register-ScheduledTask

  2. Exécution de la charge utile : La tâche est configurée pour exécuter une action spécifique, qui peut être :

    • Lancer un cheat loader ou le cheat lui-même.

    • Exécuter un script (, , ) qui effectue des actions malveillantes (par exemple, supprimer des journaux, télécharger d’autres chargements utiles, désactiver la sécurité)..bat .ps1 .vbs

    • Exécution de commandes système (par exemple, utiliser ou ).cmd.exe /c ...powershell.exe -Command ...

  3. Configuration des déclencheurs : La partie cruciale pour l’évasion est le déclencheur. Les tâches peuvent être configurées pour s’exécuter :

    • Au démarrage du système ou à la connexion : exécute la charge utile tôt, potentiellement avant que tous les outils de surveillance ou de partage d’écran ne soient actifs.

    • À propos d’un événement précis : Déclenché par des événements système pouvant survenir pendant le jeu.

    • À un moment précis : C’est moins fréquent pour le pontage direct pendant SS, plus pour la persistance.

  4. Contexte d’exécution et privilèges : Les tâches peuvent être configurées pour s’exécuter sous différents comptes utilisateurs, y compris le compte SYSTEM, ce qui peut potentiellement accorder à la charge utile des privilèges élevés nécessaires pour certaines actions de contournement (comme l’arrêt des services critiques).

  5. Contourner la surveillance :

    • Source de l’exécution : La tâche est lancée par le service Planificateur des tâches ( ou hébergée à l’intérieur ), et non directement par l’utilisateur qui double clique sur une icône. Cela peut parfois contourner une simple journalisation d’exécution axée sur l’initiation directe de l’utilisateur. Le prélecture peut seulement être journalisée (interface graphique du planificateur des tâches) ou, si elle est utilisée pour la création, ou le service d’ordonnancement lui-même, plutôt que la charge utile directement, selon la configuration de l’action.taskeng.exe svchost.exe mmc.exe schtasks.exe

    • Timing: Les déclencheurs de démarrage/connexion peuvent exécuter du code avant que la surveillance habituelle du partage d’écran ne commence.

  6. Obscurcissement: Les noms des tâches, descriptions et les chemins/arguments dans l’action de la tâche peuvent être déguisés pour paraître légitimes (par exemple, imiter les tâches de mise à jour) afin d’échapper à une inspection manuelle. Des caractères Unicode peuvent également être utilisés.

PrécédentTechniques de contournement du planificateur des tâchesSuivantDétection

Mis à jour