Le process hollowing est un exploit de sécurité dans lequel un attaquant supprime le code d'un fichier exécutable et le remplace par un code malveillant. Les pirates utilisent l'attaque par évidement de processus pour faire en sorte qu'un processus légitime exécute un code malveillant. Cette attaque peut être réalisée tout en échappant aux défenses potentielles, telles que les logiciels d'analyse de détection. Les liens malveillants contenus dans les courriels de phishing peuvent souvent être utilisés pour lancer des exploits de "process hollowing". Un utilisateur de Windows peut cliquer sur l'un de ces liens infectés et faire en sorte que son ordinateur exécute des commandes PowerShell. Cette commande peut ensuite être utilisée pour télécharger et installer des logiciels malveillants. Le Process hollowing est similaire aux attaques par injection de code à d'autres égards. Il fonctionne Ce malware permet à un attaquant de modifier un programme pour le faire paraître réel. Par exemple, "ajouter un arrêt au processus de lancement". Pendant la pause, l'attaquant peut supprimer le code légitime dans le fichier exécutable du programme et le remplacer par du code malveillant. Ce processus est connu sous le nom de "hollowing". Le code de l'attaquant sera exécuté par le lanceur lorsqu'il reprendra. L'évidement de processus est essentiellement un moyen pour un attaquant de transformer un exécutable de confiance en un fichier malveillant. Cette stratégie signifie qu'il est très probable que le logiciel anti-malware de la cible ne sera pas en mesure de détecter qu'il y a eu un swap. Comment gérer le hollowing Parce qu'elles s'attaquent aux processus nécessaires des systèmes, il est difficile d'arrêter les attaques de hollowing de processus. Le code malveillant peut également supprimer les fichiers de trace de votre disque, ce qui rend difficile l'identification des attaques par évidement de processus. C'est pourquoi de nombreux fournisseurs de solutions de sécurité recommandent l'utilisation de stratégies post-attaques pour faire face aux attaques par évidement de processus. De ce fait, un nouveau segment de marché pour ce type de menace persistante avancée (APT) est en train d'émerger. Le cabinet d'études Gartner appelle ce nouveau segment de marché "endpoint detection and response (EDR)". L'EDR consiste à créer des outils permettant de détecter les activités suspectes et de résoudre d'autres problèmes sur les terminaux et les hôtes.
- Digital due process Digital due process est une adaptation et une extension de cette exigence légale destinée à protéger les droits des individus en matière de communications en ligne. D'une manière générale, la procédure régulière est l'obligation de respecter les lois et les normes de conduite établies lors des actes officiels de l'État...
- Chief Process and Innovation Officer (CPIO) Le Chief Process and Innovation Officer (CPIO), ou Chief Process Officer (CPO), un poste au niveau C de l'entreprise, est un rôle qui exige d'un dirigeant qu'il soit capable d'identifier les domaines dans lesquels une entreprise peut s'améliorer et de suggérer des moyens pour y parvenir. Selon les observateurs du...