Bloquer les attaques par injection de processus parent/enfant sous Windows 11
IntroductionL’injection de processus parent/enfant est une technique d’évasion utilisée par les attaquants pour exécuter un code malveillant en le rendant indiscernable au sein d’un processus légitime. Cela consiste à faire passer un programme malveillant comme enfant d’un processus système autorisé (ex : explorer.exe, svchost.exe) ou à manipuler la hiérarchie parentale pour contourner les contrôles de sécurité. Ce tutoriel décrit les méthodes pour détecter, bloquer et surveiller ce type d’injection dans Windows 11.
Prérequis• Connaissance de la gestion des processus Windows
• Accès administrateur au poste ou au réseau supervisé
• Outils requis : Sysmon, Process Explorer, Defender for Endpoint, WDAC, AppLocker
Niveau de difficulté• Étape #1 : Identifier les relations parent/enfant suspectes
• Étape #2 : Bloquer l’exécution anormale via politiques WDAC/AppLocker
• Étape #3 : Surveiller la création de processus avec Sysmon
• Étape #4 : Contrôler les injections mémoire inter-processus
• Étape #5 : Renforcer les accès sur les API sensibles (CreateRemoteThread, etc.)
Les Avantages• Étape #1 : Détection proactive des anomalies d’exécution
• Étape #2 : Prévention des comportements d’évasion
• Étape #3 : Visibilité sur la chaîne de création des processus
• Étape #4 : Blocage des techniques d’injection courantes
• Étape #5 : Renforcement du modèle de sécurité mémoire
Les Inconvénients• Étape #1 : Requiert une analyse manuelle ou un SIEM pour corrélation
• Étape #2 : Peut bloquer des outils internes de scripting si mal configuré
• Étape #3 : Génère un grand volume de journaux
• Étape #4 : Sensible aux faux positifs en environnement de développement
• Étape #5 : Complexité à restreindre proprement les appels API
Étape #1
Lancer Process Explorer de Sysinternals
Rechercher des processus enfants liés à des processus système non cohérents
Identifier les binaires lancés par :
Code:
explorer.exe, services.exe, winlogon.exe
Vérifier les chemins non signés ou inconnus associés à ces processus Étape #2 Créer une stratégie WDAC pour bloquer les exécutables non signés Interdire les exécutions depuis :
Code:
C:\Users%USERNAME%\AppData
Code:
C:\Temp
Code:
Event ID 1 : Process Create
Code:
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\RunAsPPL = 1
Code:
Blocage des processus créés à partir d’un processus enfant non autorisé
Code:
kernel32.dll, ntdll.dll, advapi32.dll
Code:
whoami /priv
AstuceCréez une alerte personnalisée dans votre SIEM sur les processus enfants de explorer.exe, winlogon.exe ou services.exe pointant vers un binaire non signé ou inconnu.
Mise en gardeL’injection de processus n’est pas détectée par les antivirus classiques. Seule une analyse comportementale ou une supervision fine des relations parent/enfant permet de la détecter.
ConseilN’autorisez pas l’exécution de scripts ou binaires depuis des répertoires temporaires ou utilisateur. Limitez également les privilèges des comptes standards pour bloquer l’accès aux processus sensibles.
Solutions alternatives• sysmon detect process injection windows 11
• block parent process spoofing windows defender asr
• applocker prevent process injection
Références utiles• Microsoft – ASR Rules (Defender)
• Microsoft Sysinternals – Sysmon
• Microsoft – AppLocker
ConclusionLes attaques par injection de processus parent/enfant sont redoutables en raison de leur furtivité. En analysant la hiérarchie des processus, en restreignant les exécutions non signées et en surveillant les manipulations mémoire, vous protégez efficacement vos systèmes Windows 11 contre cette méthode d’évasion avancée.
