Picus Security décortique la technique APC du MITRE ATT&CK

La société de cybersécurité Picus Security a publié une analyse détaillée de la technique T1055.004 du cadre MITRE ATT&CK, appelée Asynchronous Procedure Call (APC). Cette méthode permet aux adversaires d'exécuter du code malveillant au sein d'un processus cible en exploitant le mécanisme APC intégré de Windows.

Picus Security explique comment les attaquants exploitent les APC en les mettant en file d'attente pour un thread au sein d'un processus légitime. Lorsque le thread atteint un "état d'alerte" (un état où il peut recevoir de nouveaux événements), il exécute la routine APC mise en file d'attente, qui peut contenir du code malveillant. Cela permet aux attaquants d'exécuter des logiciels malveillants et de contourner les mesures de sécurité traditionnelles, car l'activité malveillante se déroule dans le contexte d'un processus approuvé.

L'analyse décrit le cycle de vie de l'attaque étape par étape, depuis l'acquisition des handles d'un processus et d'un thread cibles, jusqu'à l'allocation de mémoire et l'écriture de la charge utile malveillante (shellcode). Enfin, elle décrit comment un appel APC est mis en file d'attente pour exécuter le code en exploitant l'état d'alerte du thread.

La publication souligne la nature furtive de l'injection APC, car elle peut imiter des opérations système légitimes, ce qui la rend difficile à détecter. Le rapport de Picus Security offre une compréhension plus approfondie de cette technique avancée et de son exploitation dans les cyberattaques.