Persistence (Mécanismes de persistance)

La persistance désigne l'ensemble des techniques utilisées par un attaquant pour maintenir son accès à un système compromis sur le long terme, en survivant aux redémarrages, aux changements de mots de passe et aux remediations partielles. MITRE ATT&CK répertorie plus de 20 catégories de persistence (TA0003) avec des dizaines de sous-techniques.

Windows persistence : (1) Run/RunOnce registry keys (HKCU/HKLM\\...\\CurrentVersion\\Run) ; (2) Scheduled Tasks (schtasks /create) ; (3) Services Windows (sc create) ; (4) WMI Event Subscription (filter + consumer) ; (5) DLL search order hijacking ; (6) AppInit_DLLs ; (7) Image File Execution Options (debugger) ; (8) Startup folder ; (9) PowerShell profile poisoning ; (10) Office add-ins (VSTO, COM addins, templates Normal.dotm) ; (11) Web shells sur IIS ; (12) BITS jobs ; (13) Time Providers ; (14) Print Processors ; (15) Active Directory persistence : ACL backdoors (Add-DomainObjectAcl), SidHistory, AdminSDHolder, GPO modifications, DCShadow.

Linux persistence : (1) cron jobs ; (2) systemd services (user et system) ; (3) .bashrc / .profile / /etc/profile.d ; (4) SSH authorized_keys ; (5) PAM modules malveillants ; (6) kernel modules (LKM rootkits) ; (7) /etc/init.d scripts ; (8) udev rules ; (9) atd / at jobs ; (10) eBPF backdoors ; (11) library preload (LD_PRELOAD, /etc/ld.so.preload).

Cloud persistence : (1) IAM users avec access keys ; (2) Lambda backdoors ; (3) cross-account trust relations ; (4) Service Principal credentials Azure ; (5) Workload Identity Federation ; (6) OAuth app consent grants.

Détection : (1) baseline des autoruns (Sysinternals Autoruns, OSQuery, Velociraptor) ; (2) Sysmon Event ID 12-13-14 (registry) ; (3) WMI subscription monitoring ; (4) file integrity monitoring ; (5) EDR avec persistence detection. Mitigations : application allowlisting, EDR, audit régulier, immutable infrastructure (re-image au lieu de patch).