Проксирование выполнения через доверенные утилиты разработчика

Злоумышленники могут воспользоваться доверенными утилитами разработчика для проксирования выполнения вредоносных полезных нагрузок. Существует много утилит, используемых для задач разработки программного обеспечения, которые могут использоваться для выполнения кода в различных формах для помощи в разработке, отладке и обратной разработке. Эти утилиты часто могут быть подписаны легитимными сертификатами, которые позволяют им выполняться в системе и проксировать выполнение вредоносного кода через доверенный процесс, который эффективно обходит решения по контролю приложений. Smart App Control — это функция Windows, которая блокирует выполнение приложений, которые она считает потенциально вредоносными, путем проверки неподписанных приложений по известному безопасному списку из облачной службы Microsoft перед их выполнением. Однако злоумышленники могут использовать «захват репутации» для злоупотребления доверием операционной системы к безопасным подписанным приложениям, которые поддерживают выполнение произвольного кода. Используя Проксирование выполнения через доверенные утилиты разработчика для запуска своего вредоносного кода, злоумышленники могут обойти защиту Smart App Control.