Lorsqu’un attaquant cible un système, son objectif est de rester indétecté le plus longtemps possible. Il doit donc éviter d’effectuer des actions caractéristiques d’un comportement malveillant identifié. Une façon d’éviter la détection est de n’effectuer que des actions sur le système qui semblent légitimes. C’est-à-dire des actions autorisées en raison de la configuration du système ou des actions possibles en détournant l’utilisation de services légitimes. Cet article présente et expérimente AWARE (Attacks in Windows Architectures REvealed), un outil défensif capable d’interroger un système Windows et de construire un graphe dirigé mettant en évidence les chemins d’attaque furtifs possibles qu’un attaquant pourrait utiliser lors de la phase de propagation d’une campagne d’attaque. Ces chemins d’attaque reposent uniquement sur des actions système légitimes et l’utilisation de binaires Living-Off-The-Land. AWARE propose également une gamme de mesures correctives pour prévenir ces chemins d’attaque.