Проксирование выполнения с помощью системных двоичных файлов

Злоумышленники могут обходить защиту на основе процессов и/или подписей путем проксирования выполнения вредоносного содержимого с помощью подписанных или иным образом доверенных двоичных файлов. Двоичные файлы, используемые в этой технике, часто являются файлами, подписанными Microsoft, что указывает на то, что они либо были загружены с Microsoft, либо уже являются встроенными в операционную систему. Двоичные файлы, подписанные доверенными цифровыми сертификатами, обычно могут выполняться в системах Windows, защищенных проверкой цифровой подписи. Несколько подписанных Microsoft двоичных файлов, которые по умолчанию присутствуют в установках Windows, могут использоваться для проксирования выполнения других файлов или команд. Аналогично, в системах Linux злоумышленники могут злоупотреблять доверенными двоичными файлами, такими как split, для проксирования выполнения вредоносных команд.