Comment mettre en place le minage silencieux sous Windows ? (Tâches en arrière-plan)

Optimisation du système pour l'exploitation minière furtive

1. Ajustez les effets visuels sur « Meilleures performances » via Propriétés système → Avancé → Paramètres de performances. Cela réduit la surcharge de l’interface graphique et libère des cycles CPU.

2. Configurez manuellement la mémoire virtuelle sur 16 Go. Accédez à Avancé → Performances → Mémoire virtuelle → Modifier, puis désactivez la gestion automatique et définissez une taille personnalisée.

3. Désactivez définitivement Windows Update à l'aide de l'éditeur de stratégie de groupe (gpedit.msc). Accédez à Configuration de l'ordinateur → Modèles d'administration → Composants Windows → Windows Update → Configurer les mises à jour automatiques → sélectionnez « Désactivé ».

4. Réglez le plan d'alimentation sur « Hautes performances » et configurez la veille/hibernation sur « Jamais ». Accès via Panneau de configuration → Matériel et audio → Options d'alimentation.

5. Désactivez Windows Defender en activant « Désactiver l'antivirus Windows Defender » sous Configuration ordinateur → Modèles d'administration → Composants Windows → Antivirus Microsoft Defender dans l'éditeur de stratégie de groupe.

Techniques de dissimulation des processus

1. Renommez les binaires malveillants pour imiter les processus système : svchost.exe, winlogon.exe, spoolsv.exe — tous placés dans des répertoires non standard comme C:\Windows\daozai ou C:\Windows\dell.

2. Utilisez NSSM (Non-Sucking Service Manager) pour installer les exécutables miniers en tant que services Windows. Cela garantit la persistance lors des redémarrages et masque l’ascendance des processus sous les hôtes de service légitimes.

3. Lancez les binaires de minage via des scripts batch en couches : run.bat déclenche run64.bat, qui exécute le mineur avec des paramètres obscurcis, notamment les URL de strate et les adresses de portefeuille.

4. Supprimez les informations de débogage et intégrez des chaînes codées XOR dans les binaires pour échapper à l'analyse statique effectuée par les outils de détection des points de terminaison.

5. Effacez les journaux d'événements après l'exécution à l'aide des commandes wevtutil.exe intégrées aux scripts de démarrage pour effacer les traces médico-légales de l'accès initial.

Stratégies d'évasion du réseau

1. Acheminez les connexions sortantes via le port 5555 ou 3333 – généralement associé aux pools Monero et Cryptonight – pour se fondre dans les anciens modèles de trafic minier.

2. Codez en dur les adresses IP au lieu des noms de domaine pour éviter la journalisation DNS ; résolvez les points de terminaison du pool hors ligne et intégrez les adresses IPv4 brutes directement dans les fichiers de configuration.

3. Implémentez des intervalles de maintien TCP correspondant aux délais d'attente HTTP standard pour imiter un comportement de synchronisation en arrière-plan bénin plutôt qu'une interrogation agressive.

4. Limitez l'utilisation de la bande passante par connexion à moins de 10 Ko/s pour rester en dessous des seuils d'alerte IDS courants pour l'exfiltration de données ou l'activité C2.

5. Utilisez TLS 1.2 avec des certificats auto-signés lors de la connexion à des relais proxy personnalisés qui transmettent le trafic vers des pools miniers publics, masquant ainsi la destination finale de l'inspection du réseau.

Mécanismes de persistance

1. Enregistrez les tâches planifiées avec des noms alphanumériques aléatoires tels que « AdobeFlashUpdate » ou « JavaRuntimeCheck », déclenchées au démarrage du système ou pendant une période d'inactivité.

2. Écrivez les clés d'exécution du registre sous HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run avec des chaînes de commande codées en base64 qui décodent et lancent des chargeurs basés sur PowerShell.

3. Déposez les DLL dans le répertoire %WINDIR%\System32\drivers et enregistrez-les en tant que pilotes de filtre hérités à exécuter avant l'initialisation en mode utilisateur.

4. Abusez des abonnements aux événements WMI pour générer de nouvelles instances chaque fois que des événements système spécifiques se produisent, par exemple à chaque connexion ou démarrage de service réussi.

5. Stockez les charges utiles cryptées dans des flux de données alternatifs (ADS) de fichiers système légitimes comme notepad.exe pour contourner l'heuristique d'analyse de fichiers.

Questions courantes et réponses directes

Q1 : Pourquoi le gestionnaire de tâches disparaît-il lorsqu'un mineur silencieux est actif ? Certains mineurs injectent dans explorer.exe ou accrochent les API Win32 utilisées par le Gestionnaire des tâches, provoquant un échec de l'interface utilisateur ou un arrêt immédiat au lancement.

Q2 : L'antivirus peut-il détecter run64.bat même s'il est renommé ? Oui : l'analyse comportementale signale les processus enfants anormaux lancés à partir de cmd.exe avec de longs arguments cryptiques, quel que soit le nom de fichier.

Q3 : Que se passe-t-il si je supprime svchost.exe de C:\Windows\dell ? Le service installé par NSSM échoue, mais le script parent peut le réapparaître en quelques secondes à moins que la tâche planifiée ou l'entrée de registre ne soit également supprimée.

Q4 : Comment puis-je vérifier si un processus est en cours d'exploration sans ouvrir le Gestionnaire des tâches ? Utiliser PowerShell : Get-Process | Où-Objet {$_.CPU -gt 80} | ForEach-Object { $_.Id; (Get-WmiObject Win32_Process -Filter 'ProcessID=$($_.Id)').CommandLine }