Lunedi 06 Luglio 2026 12:34:01 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

WIKICROOK

proxy di esecuzione Windows

Un binario di sistema legittimo abusato per avviare o nascondere attività malevole.

Un proxy di esecuzione Windows è un binario di sistema legittimo che gli aggressori abusano per avviare altro codice o far sembrare normale un'attività malevola. Invece di depositare un nuovo eseguibile evidente, l'attaccante invoca strumenti affidabili come host di scripting, utilità di servizio o componenti a riga di comando per avviare payload, caricare codice in memoria o passare comandi a un altro processo.

Questo è importante perché i controlli di sicurezza spesso si fidano più dei binari Microsoft firmati che dei file sconosciuti. Quando il malware usa un proxy di esecuzione Windows, può eludere il semplice blocco basato sugli hash, confondersi con le normali attività di amministrazione e creare un percorso più pulito per la persistenza o il movimento laterale. Gli difensori cercano catene di processi padre-figlio sospette, argomenti della riga di comando insoliti, script codificati e accessi di rete inattesi da binari affidabili. Il monitoraggio di questi comportamenti aiuta a smascherare l'abuso anche quando il nome del processo sembra legittimo.

← indice WIKICROOK