Powershell à distance

  • Aperçu: PowerShell Remoting est une fonctionnalité légitime de Windows, principalement conçue pour que les administrateurs système puissent gérer les ordinateurs à distance en exécutant des commandes et scripts PowerShell sur eux à travers un réseau. Il utilise WS-Management (Windows Remote Management - WinRM) pour la communication.

  • Scénario d’utilisation abusive lors du partage d’écran : Bien qu’il ne s’agisse pas d’une méthode d’injection directe de triche en soi, PowerShell Remoting présente un vecteur potentiel d’interférences externes lors d’un partage d’écran, s’il est activé sur la machine du lecteur et qu’une partie externe dispose des identifiants et de l’accès réseau nécessaires. Une connexion à distance pourrait théoriquement être utilisée par un complice pour :

    • Exécutez silencieusement des commandes pour supprimer des fichiers spécifiques ou des clés de registre contenant des preuves pendant que le ScreenSharer est concentré ailleurs.

    • Terminez les processus, comme les processus de triche que le ScreenSharer est sur le point de découvrir, ou même les outils du ScreenSharer (AnyDesk, System Informer).

    • Exécutez des scripts pour modifier les paramètres système (par exemple, réactiver un service désactivé, changer les permissions).

    • Lancez des applications ou scripts furtifs conçus pour masquer ou interférer davantage.

  • Pertinence et détection : Le risque pratique lors d’un partage d’écran typique est généralement faible, sauf si le lecteur dispose d’un accès à distance préconfiguré ou collabore en direct avec quelqu’un d’autre. Cependant, la sensibilisation est utile :

    • Vérifiez si le service WinRM fonctionne ().sc query WinRM

    • Vérifiez les connexions réseau (en utilisant System Informer ou ) pour les connexions établies sur les ports WinRM (par défaut 5985/5986) provenant de sources inattendues.netstat -ano

    • Les journaux d’événements PowerShell (s’ils sont activés) peuvent afficher l’exécution de commandes à distance.

    • Une fin inexpliquée des outils ou la suppression de fichiers pendant le SS pourraient (dans de rares cas complexes) justifier la considération d’une interférence externe, bien que des explications plus simples soient généralement plus probables.

PrécédentInjection de codage shellSuivantDLLs suspectes et techniques d’injection de DLL

Mis à jour