Analyse TTP : Named Pipes (tubes nommés) et évasion en mémoire

Danger

Résumé exécutif : les tubes nommés (Named Pipes) constituent un mécanisme fondamental de communication inter-processus (IPC) au sein du système d’exploitation Windows. Parce qu’ils opèrent entièrement en mémoire et exploitent des processus système natifs et de confiance, les acteurs de la menace en abusent massivement. Qu’il s’agisse d’encapsuler le trafic de commande et contrôle (C2) sur SMB pour un mouvement latéral furtif, ou d’exploiter des contrôles d’accès défaillants pour une élévation de privilèges locale (LPE) via l’usurpation de jeton (token impersonation), les Named Pipes représentent un angle mort critique pour l’analyse forensique traditionnelle centrée sur le disque.

1. Anatomie et mécanique des Named Pipes

Avant de chasser les tubes malveillants, les analystes doivent comprendre comment le noyau Windows les gère. Un tube nommé est un segment de mémoire partagée que les processus utilisent pour échanger des données. Il fonctionne sur une architecture client/serveur stricte : un processus serveur crée le tube, et des processus clients s’y connectent pour lire ou écrire des données.

Sous le capot, les tubes nommés sont gérés par le gestionnaire d’E/S (I/O Manager) de Windows via le pilote du système de fichiers des tubes nommés (Npfs.sys). Étant donné que Windows traite les tubes comme des objets fichiers, les processus interagissent avec eux à l’aide d’API de fichiers standards telles que CreateFile, ReadFile et WriteFile.

• Chemin en espace utilisateur (User-Mode) : \\.\pipe\NomDuTube
• Traduction en espace noyau (Kernel-Mode) : \Device\NamedPipe\NomDuTube

Point crucial : les tubes nommés n’existent que dans la mémoire non paginée du noyau (Kernel Pool). Ils ne laissent aucune trace physique sur le disque dur, ce qui en fait le terrain de préparation ultime pour les techniques de type Living off the Land (LOTL).

Typologie des abus (TTPs)

Les adversaires exploitent les tubes nommés à travers trois phases principales de la chaîne d’attaque (kill chain).

A. Mouvement latéral (Encapsulation SMB)

Bien que les tubes soient principalement utilisés pour l’IPC local, Windows permet d’y accéder à distance via le réseau. Les tubes distants sont encapsulés au sein du protocole Server Message Block (SMB) (port 445) et accessibles via le partage administratif caché IPC$ (ex: \\IP-Cible\pipe\NomDuTube).

C’est le mécanisme fondamental derrière des outils comme PsExec. Les acteurs de la menace utilisent des tubes distants pour pousser des charges utiles et exécuter des commandes à travers le réseau, noyant ainsi fortement leur activité au sein du trafic SMB légitime et très volumineux de l’entreprise.

B. Balises C2 P2P (Cobalt Strike et Metasploit)

Afin d’échapper à la détection réseau, les acteurs de la menace modernes évitent que chaque terminal compromis ne communique directement avec Internet (beaconing). À la place, ils établissent un réseau pair-à-pair (P2P).

Une balise principale de sortie (“Egress Beacon”) communique avec le serveur C2 externe, tandis que les balises secondaires (“Child Beacons”) sur les machines internes communiquent uniquement avec la balise de sortie via des Named Pipes encapsulés sur SMB. Pour les outils de détection et réponse réseau (NDR), cela ressemble simplement à du trafic de partage de fichiers Windows interne, masquant complètement les battements de cœur (heartbeat) du C2.

C. Élévation locale de privilèges (Usurpation de tube)

Windows fournit une API puissante nommée ImpersonateNamedPipeClient. Lorsqu’un client se connecte à un tube, le serveur qui a créé le tube peut usurper (impersonate) le jeton de sécurité du client.

Si un attaquant identifie un service système hautement privilégié (s’exécutant en tant que SYSTEM) qui tente de se connecter à un nom de tube prévisible sans vérifier l’identité du serveur, l’attaquant peut créer ce tube de manière préemptive. Lorsque le processus SYSTEM se connecte, l’attaquant vole son jeton, obtenant ainsi une élévation de privilèges locale (LPE) instantanée.

Astuce

Exemple concret : comme détaillé par NetSPI dans leur simulation d’adversaire “Pipe Dreams”, la suite Quest Desktop Authority souffrait de graves erreurs de configuration de Named Pipes. Le logiciel créait des tubes avec des listes de contrôle d’accès discrétionnaire (DACLs) excessivement permissives, accordant le contrôle total au groupe Tout le monde (Everyone). Les attaquants ont exploité ces erreurs de configuration pour injecter des commandes arbitraires directement dans un tube consommé par un service SYSTEM, conduisant à une exécution de code à distance immédiate.

2. Étude de cas récente : le framework “PipeMagic” (2025)

L’abus des tubes nommés ne se limite pas aux anciens outils. En août 2025, Microsoft Threat Intelligence a publié une dissection détaillée de PipeMagic, un framework de porte dérobée (backdoor) modulaire hautement sophistiqué reposant fortement sur l’IPC pour assurer sa furtivité.

Contrairement aux malwares traditionnels qui chargent toutes leurs capacités dans un seul binaire massif, PipeMagic opère en utilisant une architecture de type microservices entièrement en mémoire.

Le bus de données interne

PipeMagic utilise les tubes nommés non seulement pour le Command & Control externe, mais aussi comme “bus de données” interne entre ses différents modules chargés en mémoire (ex: keylogger, scanner réseau, module d’exfiltration). En échangeant des données via des tubes plutôt que par des zones de mémoire partagée ou des écritures sur disque, le malware échappe aux scanners de mémoire des EDR qui recherchent des allocations de mémoire inter-processus anormales.

Évasion EDR

Étant donné que la communication par tube nommé utilise des API NT natives de bas niveau (NtCreateFile, NtFsControlFile), PipeMagic contourne le “hooking” d’API en espace utilisateur (User-Mode) de plus haut niveau (comme les hooks de kernel32.dll) employé par les antivirus classiques, restant ainsi virtuellement invisible pour une surveillance de processus naïve.

3. Télémétrie et Threat Hunting

Puisque les tubes nommés ne laissent aucune empreinte sur le système de fichiers NTFS, les analystes DFIR doivent s’appuyer sur la télémétrie au niveau du noyau et sur les journaux d’accès aux objets réseau.

A. Visibilité Sysmon (Événements 17 et 18)

Sysmon est l’outil principal pour détecter les abus de tubes nommés sur le terminal.

• Événement 17 (Pipe Created) : consigne la création d’un serveur de tube nommé. Crucial pour identifier le processus compromis hébergeant l’écouteur (listener) du C2.
• Événement 18 (Pipe Connected) : consigne la connexion d’un client à un tube. Crucial pour tracer le flux de données interne entre les processus injectés de l’attaquant.

B. Accès aux objets de partage réseau (Événement 5145)

Pour détecter le mouvement latéral via l’encapsulation SMB, les analystes doivent surveiller le journal de sécurité (Security) de Windows pour l’Événement 5145 (Un accès à un objet de partage réseau a été vérifié pour voir si le client peut obtenir l’accès).

• Focus de chasse : filtrer les accès où le nom de partage (Share Name) est \\*\IPC$ et où le nom cible relatif (Relative Target Name) correspond à des noms de tubes malveillants connus.

Chasse aux conventions de nommage suspectes

La chasse aux menaces avancée nécessite d’identifier les anomalies dans le champ PipeName. Les adversaires utilisent généralement trois stratégies de nommage :

1. Défauts codés en dur (Hardcoded Defaults) : les script-kiddies et les profils C2 commerciaux par défaut laissent souvent les noms de tubes par défaut. Par exemple, les balises SMB par défaut de Cobalt Strike utilisent fréquemment \pipe\msagent_* ou \pipe\mojo.*.
2. Randomisation : noms constitués de chaînes hexadécimales ou alphanumériques complètement aléatoires (ex: \pipe\5f3a1b...). Les tubes Windows légitimes utilisent généralement des noms structurés et lisibles (ex: \pipe\spoolss).
3. Typosquatting / Masquage : les attaquants imitent les tubes Microsoft légitimes pour se fondre dans la masse. Par exemple, créer \pipe\lsass au lieu du tube légitime \pipe\lsass\IPC.

4. Analyse forensique en mémoire (RAM)

Lorsque les journaux de télémétrie sont purgés ou écrasés, la mémoire volatile (RAM) constitue l’ultime vérité terrain. Étant donné que les tubes nommés sont gérés par le gestionnaire d’E/S de Windows, ils existent en tant qu’objets File dans le pool du noyau (Kernel Pool).

Les analystes DFIR peuvent extraire les tubes nommés actifs et récemment fermés depuis un vidage mémoire (memory dump) en utilisant des frameworks forensiques avancés.

A. Analyse avec Volatility 3

Volatility 3 peut énumérer tous les handles ouverts à travers tous les processus pour identifier les tubes actifs.

1. Acquérir le dump mémoire : obtenir un vidage mémoire brut .mem ou .raw du terminal compromis.
2. Énumérer les handles : utiliser le plugin windows.handles.Handles pour lister tous les handles d’objets.
3. Filtrer pour les tubes : parce que les tubes sont traités comme des objets fichiers par le noyau, utiliser grep pour isoler \Device\NamedPipe\.
4. Identifier le coupable : faire correspondre le tube identifié à son PID pour trouver le processus injecté ou malveillant.

volatility_pipe_hunting.sh

# Exécuter le plugin handles et filtrer pour les Named Pipes
python3 vol.py -f dump_cible.raw windows.handles | grep "Device\\\NamedPipe"

# Exemple de sortie :
# PID     Process        Type    Name
# 4512    powershell.exe File    \Device\NamedPipe\mojo_54321

B. MemProcFS et extraction de chaînes (Carving)

MemProcFS permet aux analystes de monter un vidage mémoire comme un système de fichiers virtuel. Cela rend l’exploration des objets du noyau aussi simple que la navigation dans des dossiers locaux.

Si le tube a été récemment fermé, le handle pourrait avoir disparu, mais la chaîne de caractères peut toujours résider dans des pages mémoire non allouées. Les analystes peuvent utiliser bstrings (provenant des outils d’Eric Zimmerman) pour sculpter (carve) les noms de tubes directement à partir du dump brut ou d’un fichier pagefile.sys capturé.

bstrings_pipe_carving.sh

# Extraction des chaînes UTF-16 (courantes dans la mémoire Windows) correspondant aux modèles de tubes
bstrings.exe -f dump_cible.raw --ls "\Device\NamedPipe"

En corrélant les noms de tubes extraits avec des profils C2 connus, les analystes peuvent identifier la famille de malwares exacte responsable de l’intrusion, même si la charge utile principale a été effacée du disque de manière sécurisée.

5. Détection avancée et règles exploitables

Bien que Sysmon offre une excellente visibilité, les solutions EDR modernes réalisent une inspection approfondie en s’accrochant (hooking) directement aux API Windows de bas niveau responsables de la création des tubes.

Comme détaillé dans les recherches de Synacktiv sur le hooking des Named Pipes sous Windows, les agents de télémétrie avancés interceptent les appels à NtCreateFile et NtFsControlFile au niveau du noyau ou de ntdll.dll. En surveillant les requêtes destinées à l’espace de noms \Device\NamedPipe\, les EDR peuvent analyser les propriétés du tube, évaluer l’espace mémoire du thread appelant à la recherche de signes d’injection, et vérifier les DACL demandées en temps réel.

Pour les analystes SOC et les Threat Hunters s’appuyant sur l’ingestion SIEM, l’identification de tubes nommés malveillants implique de rechercher des conventions de nommage réputées malveillantes et de repérer des processus parents suspects (ex: cmd.exe ou powershell.exe créant un serveur de tube).

Sigma (Sysmon EID 17/18)

sigma_suspicious_named_pipe.yaml

title: Tube Nommé Suspect Créé/Connecté (Cobalt Strike / Metasploit)
id: 8c9d0e1f-2a3b-4c5d-6e7f-8a9b0c1d2e3f
status: experimental
description: Détecte la création ou la connexion à des tubes nommés utilisant des conventions de nommage par défaut associées à des frameworks C2 courants comme Cobalt Strike et Metasploit.
logsource:
    category: pipe_creation
    product: windows
detection:
    # Événement Sysmon 17 (Pipe Created) ou 18 (Pipe Connected)
    selection:
        PipeName|contains:
            - '\mojo.5688.8052.'   # Cobalt Strike par défaut
            - '\msagent_'          # Cobalt Strike SMB Beacon par défaut
            - '\postex_ssh_'       # Cobalt Strike SSH
            - '\status_'           # Cobalt Strike
            - '\msf-pty'           # Metasploit Meterpreter
    condition: selection
level: high
tags:
    - attack.command_and_control
    - attack.t1090
    - attack.t1570

KQL (Defender XDR)

hunt_smb_named_pipe_lateral_movement.kql

// Détecte le mouvement latéral via les tubes nommés sur SMB (partage IPC$)
// en utilisant l'Événement de sécurité Windows 5145 (Network Share Object Access)
DeviceEvents
| where ActionType == "ShareAccessed"
| where AdditionalFields.ShareName has "\\*\\IPC$"
// Cibler le nom cible relatif spécifique (le nom du tube)
| where AdditionalFields.RelativeTargetName has_any ("mojo", "msagent", "postex")
// S'assurer que la connexion provient du réseau
| where RemoteIPType == "Public" or RemoteIPType == "Private"
| project TimeGenerated, DeviceName, RemoteIP, InitiatingProcessAccountName, AdditionalFields.RelativeTargetName
| sort by TimeGenerated desc

6. Conclusion et atténuations

Les tubes nommés sont une nécessité architecturale pour le système d’exploitation Windows ; ils ne peuvent pas être désactivés ou bloqués globalement sans provoquer une panne catastrophique du système. Par conséquent, l’atténuation de la menace qu’ils représentent nécessite une stratégie de défense en profondeur axée sur la segmentation du réseau et le contrôle d’accès.

1. Micro-segmentation réseau : le mouvement latéral via les tubes nommés repose entièrement sur le protocole SMB. Les organisations doivent appliquer strictement des pare-feux basés sur l’hôte (Windows Defender Firewall) pour bloquer le port TCP 445 (SMB) entrant entre les postes de travail clients. Les postes de travail ne devraient communiquer sur SMB qu’avec les serveurs de fichiers désignés et les contrôleurs de domaine, neutralisant ainsi complètement les balises SMB de poste à poste (workstation-to-workstation).
2. Audit des DACL pour empêcher les LPE : pour prévenir l’élévation de privilèges locale via l’usurpation de tube, les développeurs de logiciels et les administrateurs informatiques doivent s’assurer que les applications tierces ne créent pas de tubes nommés avec des listes de contrôle d’accès discrétionnaire (DACL) trop permissives, accordant le contrôle total au groupe Tout le monde (Everyone) ou BUILTIN\Users.
3. Surveillance comportementale : étant donné que les acteurs de la menace génèrent constamment des noms de tubes de manière aléatoire dans les profils C2 modernes, la correspondance de chaînes statiques (comme la règle Sigma ci-dessus) doit être complétée par une surveillance comportementale. Concentrez-vous sur l’identification de processus qui n’utilisent généralement pas de tubes nommés et qui se mettent soudainement à générer des serveurs de tubes et à accepter des connexions SMB entrantes.

---

Sources et références

• Microsoft Security Blog (2025) :Dissecting PipeMagic: Inside the Architecture of a Modular Backdoor Framework
• Synacktiv : Hooking Windows Named Pipes
• NetSPI : Pipe Dreams: Remote Code Execution via Quest Desktop Authority Named Pipe
• Detect.fyi : Threat Hunting Suspicious Named Pipes
• CyberEngage : Extracting Memory Objects with MemProcFS & Volatility 3
• Action liée : Chasse au Cobalt Strike et mouvement latéral PsExec