Qu'est-ce que c'est ?

C'est une technique souvent utilisée dans le domaine de la sécurité informatique, en particulier dans les attaques de type malware ou de post-exploitation. Elle repose sur l'idée d'exécuter un binaire malveillant ou un script de manière détournée, en utilisant un processus légitime ou une ressource déjà existante dans le système d'exploitation pour éviter de déclencher des alertes de sécurité.

Voici les concepts clés de cette technique :
Binary Proxy : Un "proxy binaire" est un processus légitime (souvent un exécutable système ou une application connue) qui sert de façade pour masquer l'exécution d'un autre programme ou script malveillant. En d'autres termes, l'exécutable malveillant peut se cacher derrière un processus déjà présent sur le système, ce qui le rend plus difficile à détecter par les outils de surveillance.

Exécution (Execution) : Cela fait référence au lancement du programme ou script malveillant. En utilisant un processus légitime pour exécuter ce programme, l'attaquant peut éviter les mécanismes de défense comme les antivirus ou les systèmes de détection d'intrusions (IDS/IPS), car l'exécution semble provenir d'un processus "normal".

Comment cela fonctionne-t-il ?

L'attaque de System Binary Proxy Execution peut se dérouler de la manière suivante :

1. Exploitation d'un processus légitime : L'attaquant identifie un processus légitime sur le système qui a des privilèges suffisants ou qui peut être manipulé pour exécuter des commandes externes. Par exemple, il peut s'agir d'un processus d'administration du système, d'un service ou d'une application utilisée fréquemment, comme explorer.exe ou svchost.exe.

2. Injection ou redirection de l'exécution : L'attaquant va injecter un code malveillant dans ce processus légitime ou le manipuler de manière à ce qu'il exécute du code externe (le binaire malveillant). Cela peut se faire en modifiant les arguments du processus ou en manipulant des variables d'environnement.

3. Évasion de la détection : Comme le code malveillant est exécuté sous le couvert d'un processus légitime, il devient beaucoup plus difficile à détecter pour les logiciels de sécurité. Cela permet à l'attaquant de contourner les mécanismes de défense du système, car il semble simplement que le processus légitime effectue une action "normale".

Exemple d'attaque :

Un exemple de cette technique pourrait être l'exécution d'un malware en utilisant un processus système comme cmd.exe (l'invite de commandes Windows). L'attaquant peut faire en sorte que cmd.exe exécute un script malveillant à partir d'une ressource distante (par exemple, un serveur commandé à distance), tout en faisant croire que ce sont des actions normales liées à l'administration du système.