Analyse CTI : Chasse à la Persistance et à l'Élévation de Privilèges (T1543, T1547, T1053)

Danger

Résumé exécutif : après avoir obtenu un accès initial (TA0001) et réussi l’exécution (TA0002), les acteurs de la menace font face à un défi critique : survivre aux redémarrages du système et aux réinitialisations d’identifiants. Il s’agit de la phase de Persistance (TA0003). Parce que l’établissement d’une persistance nécessite souvent des modifications au niveau du système, cette phase recoupe fréquemment l’Élévation de privilèges (TA0004). Pour les analystes DFIR, la chasse lors de ces phases est très gratifiante. Alors que les connexions réseau sont éphémères et que les processus en mémoire peuvent être terminés, les mécanismes de persistance laissent des modifications durables et indéniables sur le système de fichiers et les registres du système d’exploitation.

1. Le carrefour de la persistance et des privilèges

Dans la matrice MITRE ATT&CK, TA0003 (Persistance) et TA0004 (Élévation de privilèges) se chevauchent fortement. Lorsqu’un adversaire établit une persistance via un mécanisme exécuté par le système d’exploitation lors de la séquence de démarrage, cette charge utile hérite généralement des privilèges du processus appelant — souvent NT AUTHORITY\SYSTEM sous Windows ou root sous Linux.

En chassant activement les artefacts générés par ces modifications système, les centres opérationnels de sécurité (SOC) peuvent détecter des adversaires avancés avant qu’ils ne réussissent leur transition vers le mouvement latéral ou l’exfiltration de données.

2. Chasser T1543 : création ou modification de processus système

Les adversaires peuvent créer ou modifier des processus de niveau système pour exécuter de manière répétée des charges utiles malveillantes. Parce que ces services démarrent automatiquement au boot, ils constituent la méthode de référence pour une persistance à haut niveau de privilège.

Services Windows (T1543.003)

Sur Windows, les attaquants enregistrent des binaires malveillants auprès du gestionnaire de contrôle des services (SCM). Cette technique est la colonne vertébrale des frameworks de mouvement latéral comme PsExec et Cobalt Strike.

• La télémétrie : l’artefact définitif est l’Événement 7045 (Création de service) enregistré dans le journal d’événements System.
• Focus de chasse : les analystes doivent scruter le champ ImagePath (nom du fichier de service) au sein de cet événement. Un service exécutant un binaire depuis un répertoire inscriptible par tous (C:\Users\Public\, C:\Windows\Temp\) ou exécutant un interpréteur de ligne de commande (ex: cmd.exe /c powershell.exe ...) est un indicateur de compromission (IOC) critique.

Services Systemd Linux (T1543.002)

Sur les distributions Linux modernes, systemd gère l’exécution des services.

• La télémétrie : comme détaillé dans notre analyse de la persistance Systemd Linux, les adversaires déposent des fichiers d’unités .service malveillants dans /etc/systemd/system/.
• Focus de chasse : les équipes DFIR doivent auditer ces répertoires à la recherche de fichiers nouvellement créés ou de l’utilisation de répertoires d’inclusion “Drop-in” (ex: ssh.service.d/override.conf) conçus pour détourner (hooker) des services légitimes et exécuter des charges utiles malveillantes via la directive ExecStartPost.

3. Chasser T1547 : exécution automatique au démarrage ou à la connexion

Au lieu de s’exécuter comme un service système, les adversaires peuvent configurer des charges utiles pour qu’elles s’exécutent lorsqu’un utilisateur se connecte. C’est très efficace pour cibler des sessions utilisateur spécifiques afin de voler des identifiants ou de surveiller l’activité.

Clés de registre Run Windows (T1547.001)

le mécanisme de persistance en espace utilisateur le plus courant. Les attaquants ajoutent les chemins de leurs charges utiles dans HKCU\Software\Microsoft\Windows\CurrentVersion\Run ou HKLM\...\Run. Pivot DFIR : analysez le Registre Windows. L’heure de dernière écriture (Last Write Time) de la clé Run modifiée révèle la milliseconde exacte où l’adversaire a établi sa persistance.

Initialisation héritée Linux (T1547.006)

malgré la domination de systemd, Linux maintient une rétrocompatibilité avec les scripts SysVinit et les profils utilisateurs hérités. Les attaquants déposent des backdoors dans /etc/rc.local ou ajoutent des alias malveillants à /etc/profile.d/. Pivot DFIR : utilisez les gestionnaires de paquets (RPM/DPKG) pour vérifier l’intégrité cryptographique de ces scripts d’initialisation afin de détecter le timestomping et les falsifications.

4. Chasser T1053 : tâche planifiée / job

Les tâches planifiées offrent aux adversaires une flexibilité extrême. Une charge utile peut être configurée pour s’exécuter tous les jours à 3h00 du matin, toutes les 15 minutes comme battement de cœur d’une balise C2, ou spécifiquement lorsqu’un administrateur du domaine se connecte.

Planificateur de tâches Windows (T1053.005)

Les attaquants utilisent des utilitaires natifs comme schtasks.exe ou des cmdlets PowerShell pour enregistrer des tâches malveillantes.

• La télémétrie : pour détecter cela, les organisations doivent explicitement activer l’audit de l’accès aux objets pour capturer l’Événement 4698 (Une tâche planifiée a été créée) dans le journal Security.
• Focus de chasse : analysez la charge utile XML au sein de l’événement pour inspecter les nœuds <Command> et <Arguments>. Les tâches lançant des moteurs de script (wscript.exe, mshta.exe, powershell.exe) avec des paramètres offusqués doivent être triées immédiatement.

Cron et tâches At Linux (T1053.003)

Cron est le planificateur de tâches basé sur le temps d’Unix. C’est la pierre angulaire de la persistance sous Linux.

• La télémétrie : les adversaires modifient les crontabs spécifiques aux utilisateurs (ex: /var/spool/cron/crontabs/www-data) ou déposent des scripts exécutables directement dans /etc/cron.hourly/.
• Focus de chasse : comme souligné dans notre guide de persistance Cron sous Linux, les analystes doivent rechercher des entrées Cron redirigeant (piping) les sorties de curl ou wget directement vers bash, ou ouvrant des sockets bruts /dev/tcp/ pour des callbacks de reverse shell.

5. Ingénierie de détection (Requêtes actionnables)

Pour traduire ces techniques ATT&CK en alertes SIEM opérationnelles, utilisez les requêtes suivantes axées sur l’identification de l’établissement de mécanismes de persistance.

KQL (T1053.005 - Tâches planifiées)

hunt_t1053_scheduled_tasks.kql

// Mitre ATT&CK : T1053.005 (Tâche planifiée)
// Détecte la création de tâches planifiées exécutant des moteurs de script suspects ou des LOLBAS.
SecurityEvent
| where EventID == 4698
| parse EventData with * '<Data Name="TaskName">' TaskName '</Data>' *
// Extraire les détails d'exécution XML
| parse EventData with * '<Command>' Command '</Command>' *
| parse EventData with * '<Arguments>' Arguments '</Arguments>' *
| extend Command = tolower(Command)
// Filtrer pour les moteurs d'exécution suspects
| where Command has_any ("powershell.exe", "cmd.exe", "wscript.exe", "cscript.exe", "mshta.exe", "rundll32.exe", "regsvr32.exe")
// Exclure les tâches administratives autorisées
| where TaskName !startswith "\\Microsoft\\Windows"
| project TimeGenerated, Computer, SubjectUserName, TaskName, Command, Arguments
| sort by TimeGenerated desc

Sigma (T1547.001 - Clés de registre Run)

sigma_t1547_registry_run_keys.yaml

title: Exécution Suspecte via Clés de Registre Run (T1547.001)
id: 8d9e0f1a-2b3c-4d5e-6f7a-8b9c0d1e2f3a
status: stable
description: Détecte l'ajout d'exécutables ou de lignes de commande suspects aux clés de registre Run/RunOnce pour obtenir une persistance à la connexion de l'utilisateur.
logsource:
    category: registry_event
    product: windows
detection:
    selection:
        # Événements Sysmon 12, 13, 14
        TargetObject|contains|any:
            - '\Software\Microsoft\Windows\CurrentVersion\Run'
            - '\Software\Microsoft\Windows\CurrentVersion\RunOnce'
    selection_payload:
        Details|contains|any:
            - 'powershell'
            - 'cmd.exe /c'
            - 'wscript'
            - 'cscript'
            - 'C:\Users\Public\'
            - 'C:\Windows\Temp\'
            - '%TEMP%'
    condition: selection and selection_payload
level: high
tags:
    - attack.persistence
    - attack.privilege_escalation
    - attack.t1547.001

6. Conclusion

Les artefacts de persistance sont les indicateurs les plus durables dans une investigation forensique. Bien que les adversaires puissent effacer leur historique bash ou utiliser une injection de processus en mémoire pour cacher une exécution active, ils ne peuvent pas s’exécuter au démarrage sans modifier la configuration de l’hôte.

En chassant systématiquement T1543, T1547 et T1053, les défenseurs exploitent la nécessité opérationnelle de l’attaquant. S’assurer d’une visibilité exhaustive sur la création de services, les tâches planifiées et les modifications de registre garantit que même si l’accès initial n’est pas détecté, le point d’ancrage de l’adversaire sera rapidement identifié et éradiqué.

---

Sources et références

• MITRE ATT&CK : Tactique de Persistance (TA0003)
• MITRE ATT&CK : Tactique d’Élévation de Privilèges (TA0004)
• Playbook lié : Chasse aux menaces pour la persistance
• Artefact lié : Événements 7045 & 4698 (Modifications Système)
• Artefact lié : Persistance Linux via Cron et tâches At