Injection de processus.

Famille de techniques d'evasion ou un attaquant execute du code malveillant dans l'espace memoire d'un processus legitime pour heriter de sa confiance et de son identite. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.

Famille de techniques d'evasion ou un attaquant execute du code malveillant dans l'espace memoire d'un processus legitime pour heriter de sa confiance et de son identite.

L'injection de processus regroupe toute methode qui place du code controle par l'attaquant dans la memoire d'un autre processus et qui amene ce dernier a l'executer, de sorte que l'activite semble provenir d'un programme signe ou attendu. Les variantes courantes sont l'injection de DLL, le reflective DLL loading, le process hollowing, l'injection par APC, le detournement de thread et AtomBombing. Les objectifs sont l'evasion, la persistance, l'elevation de privileges et l'acces aux identifiants (lecture de la memoire de LSASS, par exemple). MITRE ATT&CK regroupe ces techniques sous T1055 et ses sous-techniques. La detection repose sur la telemetrie EDR cross-process et d'ecriture memoire, les callbacks kernel, les evenements Sysmon 8 et 10, la baseline des arbres parent-enfant, ainsi que Credential Guard et Code Integrity.

Les défenses contre Injection de processus combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.