Bloquer la persistance via services personnalisés sous Windows 11
IntroductionLes services personnalisés Windows sont fréquemment utilisés par les attaquants pour maintenir un accès persistant sur un système compromis. En enregistrant un service malveillant comme un service système classique, l’attaquant peut exécuter du code à chaque démarrage avec des privilèges élevés, en toute discrétion. Ce tutoriel détaille les techniques de détection, de suppression et de prévention des services personnalisés non autorisés sous Windows 11.
Prérequis• Connaissance des services Windows et de leur gestion
• Accès administrateur local au système
• Outils recommandés : Services.msc, SC.exe, PowerShell, Sysmon, Autoruns
Niveau de difficulté• Étape #1 : Identifier les services inconnus ou suspects
• Étape #2 : Auditer les chemins d’exécution des services
• Étape #3 : Supprimer les services malveillants
• Étape #4 : Restreindre la création de nouveaux services
• Étape #5 : Surveiller en temps réel l’enregistrement de services
Les Avantages• Étape #1 : Visibilité sur les services inconnus ou non signés
• Étape #2 : Détection des chemins anormaux ou dissimulés
• Étape #3 : Suppression ciblée de services persistants
• Étape #4 : Prévention des installations malveillantes futures
• Étape #5 : Surveillance proactive des tentatives d’enregistrement
Les Inconvénients• Étape #1 : Analyse manuelle nécessaire pour les services ambigus
• Étape #2 : Risque de faux positifs avec des services internes
• Étape #3 : Requiert des droits élevés et précautions avant suppression
• Étape #4 : Incompatibilité possible avec certains logiciels légitimes
• Étape #5 : Charge de supervision élevée sans automatisation
Étape #1
Ouvrir Services.msc ou exécuter :
Code:
services.msc
Lister tous les services à l’état Automatique
Identifier les noms non documentés ou douteux
Noter les chemins d’accès au binaire associé Étape #2 Ouvrir une console PowerShell en administrateur Lister tous les chemins de services installés :
Code:
Get-WmiObject win32_service | Select-Object Name, PathName | Sort-Object Name
Code:
C:\Users
Code:
C:\Temp
Code:
C:\ProgramData
Code:
sc query state= all
Code:
sc delete NomDuService
Code:
HKLM\SYSTEM\CurrentControlSet\Services\NomDuService
Code:
Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Attribution des droits utilisateur
Code:
Créer un service
Code:
ID 1 : Process Create
Code:
ID 12 : Registry Object Added
Code:
HKLM\SYSTEM\CurrentControlSet\Services
Code:
C:\Windows\System32*.exe
AstuceUtilisez Autoruns pour visualiser en un coup d’œil tous les services configurés sur le système avec leur statut de signature et leur autorité d’origine.
Mise en gardeCertains services malveillants utilisent des noms proches de services système légitimes. Vérifiez minutieusement le binaire et sa signature avant suppression.
ConseilN’autorisez l’enregistrement de services que via des outils approuvés et signez numériquement vos exécutables internes pour empêcher leur suppression par erreur.
Solutions alternatives• detect malicious windows services
• sysmon track service installation
• windows block unauthorized service creation
Références utiles• Microsoft – Sysmon
• Microsoft – Basic Service Hardening
• Microsoft – Service Security and Access Rights
ConclusionLes services personnalisés sont un vecteur de persistance courant et dangereux. En identifiant les services suspects, en contrôlant les autorisations d’installation et en surveillant en continu les modifications, vous renforcez significativement la sécurité des systèmes Windows 11 face aux tentatives d’intrusion furtives.
