Process OPSEC

Description: ppid : les processus spawned apparaissent comme enfants du PID cible plutôt que du processus hôte de Beacon. spawnto : contrôle le processus sacrificiel pour les commandes fork&run (execute-assembly, powerpick...). Combiner les deux : le process sacrificiel devient enfant du parent spoofé. La cohérence (canal C2, hôte, parent, spawnto) est l'objectif - pas de config universelle.

Description: Les drivers EDR enregistrent un callback à chaque création de processus. Si la ligne de commande matche un pattern signé, le driver met CreationStatus à STATUS_ACCESS_DENIED. Non désactivable sans exécution kernel. Patterns CS observables : shell → cmd.exe /C <cmd>, run → <cmd>, powershell → powershell -nop -exec bypass -EncodedCommand <b64>, fork&run → <spawnto>.

Description: La commande pth utilise CreateProcessWithLogonW pour echo un token dans un named pipe - pattern signé par Defender.

Description: L'exploit uac-schtasks invoque schtasks.exe avec SilentCleanup - pattern signé. Résultat : STATUS_ACCESS_DENIED sur Start-Process.

Description: Si un binaire est signé sur sa ligne de commande, trouver un COM object ou une API native qui produit le même effet sans l'invoquer. Schedule.Service trigger SilentCleanup sans passer par schtasks.exe - aucune ligne de commande observable par le callback.