Centro Assistenza ACSIA

Ricerca

Che cos'è la "process creation"?

Federico Trotta
Federico Trotta
  • Aggiornato

Panoramica

Questo articolo spiega l'alert ACSIA chiamato "process creation".

Spiegazione della process creation

"Process creation" si riferisce all'azione di avviare un nuovo programma o un'attività su un computer o dispositivo. Quando un processo viene creato, diventa parte attiva del sistema operativo, viene eseguito in background o interagisce con l'interfaccia utente e può svolgere varie funzioni in base alla sua progettazione e scopo.

Esempio di un attacco che coinvolge la "process creation":

Immagina uno scenario in cui un utente malintenzionato desidera ottenere l'accesso non autorizzato alla rete di un'azienda. L'attaccante decide di utilizzare un attacco "process creation" per raggiungere il proprio obiettivo.

L'aggressore ottiene l'accesso iniziale al computer di un dipendente all'interno dell'azienda. In particolare, usa una tattica di ingegneria sociale per indurre il dipendente a fare clic su un collegamento dannoso in un'e-mail o in un file allegato, che contiene un malware noto come "Trojan".

Non appena il dipendente fa clic sul collegamento o apre l'allegato, il malware viene eseguito sul computer. L'obiettivo principale del malware è ottenere il controllo del sistema e fornire all'aggressore una backdoor per accedere alla rete.

Una delle prime cose che fa il Trojan è tentare di creare un nuovo processo all'interno del sistema operativo. Lo fa per stabilire una connessione a un server di comando e controllo remoto gestito dall'attaccante.

Una volta che il Trojan ha creato con successo questo nuovo processo e stabilisce la connessione, l'aggressore ottiene il controllo del computer compromesso. Da questo punto in poi, l'aggressore può accedere da remoto alla rete aziendale e lanciare ulteriori attacchi, esplorando la rete alla ricerca di dati sensibili o tentando di infettare altri dispositivi.

L'attacco di "process creation" è stato fondamentale per il successo del trojan in quanto ha consentito al malware di diventare parte attiva del sistema operativo del computer, consentendogli di svolgere attività dannose non rilevate dall'utente o dalle tradizionali misure di sicurezza.

 


ACSIA ti avvisa quando sulla tua infrastruttura viene creato un processo da investigare.