L’article, rédigé par Grant Smith de Phantom Security Group, présente une nouvelle technique de persistance pour les applications Windows, appelée Phantom Persistence. Cette méthode utilise l’API RegisterApplicationRestart pour relancer des applications après un redémarrage du système.
Cette technique a été découverte accidentellement lors de recherches sur l’exécution de payloads au moment de l’arrêt du système. Elle exploite une fonctionnalité souvent utilisée par les installateurs pour redémarrer les applications après un crash, en manipulant le processus de shutdown pour relancer une application à l’aide de l’argument EWX_RESTARTAPPS.
Le processus implique la création d’une fenêtre cachée pour intercepter les messages de fin de session et bloquer le shutdown, permettant ainsi de redémarrer l’application sans écrire dans le registre, ce qui la rend difficile à détecter par les systèmes de sécurité. Cette méthode ne nécessite pas de privilèges administratifs, ce qui la rend potentiellement dangereuse.
L’article inclut un proof of concept et détaille les étapes techniques pour implémenter cette méthode, tout en soulignant que cette technique n’est pas infaillible en cas de coupure de courant ou d’arrêt brutal. Il s’agit d’une publication de recherche visant à partager une nouvelle méthode de persistance avec la communauté.
🧠 TTP et IOC détecté
TTP
T1547.015 - Boot or Logon Autostart Execution: Application Restart
IOC
N/A
🔗 Source originale : https://blog.phantomsec.tools/phantom-persistence