Skip to content

Expliquez l'injection de processus, donnez quelques techniques, et dites comment une équipe bleue la détecte.

Réponse courte

L'injection de processus exécute le code de l'attaquant dans l'espace mémoire d'un processus légitime pour que l'activité se fonde dans la masse et hérite de la confiance de ce processus. Les techniques classiques incluent l'injection de DLL (CreateRemoteThread + LoadLibrary), le process hollowing (lancer un processus bénin suspendu, le démapper, y écrire du code malveillant) et l'injection d'APC. Les défenseurs la détectent via les hooks d'API de l'EDR, des relations parent/enfant ou des régions mémoire anormales (RWX, mémoire exécutable non adossée à un fichier) et les événements CreateRemoteThread de Sysmon.

L'injection de processus est une technique fondamentale d'évasion des défenses : au lieu de tourner comme son propre processus suspect, le malware s'exécute dans un processus de confiance (comme explorer.exe ou svchost.exe). Cela lui offre deux gains — il se cache parmi l'activité normale et il hérite des permissions et de la réputation réseau du processus hôte. Les recruteurs posent cette question pour tester la profondeur sur les internes de Windows et la détection EDR.

Techniques courantes

  • Injection de DLL — écrire le chemin d'une DLL malveillante dans la mémoire d'un processus cible et le forcer à la charger via CreateRemoteThread appelant LoadLibrary. Simple et bien connue.
  • Process hollowing (RunPE) — lancer un processus légitime suspendu, démapper (évider) son image, écrire du code malveillant dans cet espace, corriger le point d'entrée et reprendre. Le processus paraît légitime de l'extérieur mais exécute le code de l'attaquant.
  • Injection d'APC — placer en file un Asynchronous Procedure Call sur un thread pour que la charge utile s'exécute quand le thread entre dans un état alertable.
  • Chargement réflexif de DLL / détournement de thread / « early bird » — variantes qui évitent de toucher le disque ou LoadLibrary pour esquiver les hooks.

La chaîne d'appels Windows typique est OpenProcessVirtualAllocExWriteProcessMemoryCreateRemoteThread, que les EDR surveillent de près.

Détection

Les produits EDR hookent ces API et signalent les séquences suspectes. L'analyse mémoire détecte les régions RWX et la mémoire exécutable non adossée à un fichier (code non mappé depuis un fichier sur disque). L'ID d'événement 8 de Sysmon journalise CreateRemoteThread, et l'ID 10 journalise ProcessAccess vers des processus sensibles comme LSASS. Des relations parent/enfant anormales (par ex. Word lançant un processus qui injecte ailleurs) sont de forts signaux.

Pourquoi c'est important

Une réponse de niveau senior nomme quelques techniques avec précision, explique pourquoi l'injection échappe à la détection fondée sur les fichiers et les processus, et pointe vers la télémétrie mémoire et comportementale pour la détection — tout en notant que des logiciels légitimes injectent aussi, le contexte compte donc pour éviter les faux positifs.

Questions de suivi probables

  • En quoi le process hollowing diffère-t-il de l'injection de DLL classique ?
  • Pourquoi de la mémoire RWX ou exécutable non adossée à un fichier est-elle un drapeau rouge ?
  • Quels logiciels légitimes injectent aussi du code, compliquant la détection ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.