Alertes Trend Micro sur PAExec utilisé par Medulla
S'applique à : Medulla / Trend Micro Apex One / Vision One / Worry-Free Business Security
Version : Toutes
Environnement : Windows / On-Premise / SaaS
Catégorie : Sécurité / Antivirus / Behavior Monitoring / Télé-exécution
Contexte
Medulla utilise PAExec, un équivalent open source de PsExec/Sysinternals, afin d'exécuter des actions à distance sur les postes Windows administrés :
- Déploiement d'applications
- Exécution de scripts planifiés
- Orchestration de tâches depuis le kiosque applicatif
- Actions de maintenance ou de remédiation
Important : Toute mesure d'exclusion de sécurité (EDR, antivirus, liste blanche) doit être réévaluée régulièrement afin de s'assurer qu'elle reste pertinente au regard du contexte, des versions logicielles et de votre politique de sécurité. Il est recommandé d'appliquer des exclusions les plus restrictives possibles.
Dans Medulla, ce mécanisme est notamment utilisé par le composant :
scheduling_launch_kiosk.py
PAExec adopte volontairement un comportement similaire à PsExec, outil légitime largement utilisé par les administrateurs systèmes mais également connu comme vecteur de mouvement latéral dans certains scénarios d'attaque.
Les EDR modernes, dont Trend Micro Apex One, surveillent donc ce type de comportement par défaut et peuvent lever une alerte, voire bloquer le processus selon le mode de la politique appliquée (détection ou protection).
Pourquoi Trend Micro détecte-t-il PAExec ?
Lorsqu'une action distante est exécutée par Medulla, PAExec suit généralement le cycle suivant :
- Le binaire PAExec est appelé depuis l'agent Medulla.
- Une copie temporaire est déposée sur le poste cible dans C:\Windows.
- Cette copie est exécutée en tant que service Windows temporaire.
- Le fichier temporaire est supprimé après l'exécution.
Le fichier détecté par l'EDR n'est donc généralement pas le binaire source Medulla, mais sa copie temporaire.
Exemple :
C:\Windows\PAExec-2124-NOMPOSTE.exe
Le binaire d'origine reste :
C:\Program Files\Medulla\bin\paexec.exe
Information :
L’EDR détecte principalement la copie temporaire déposée dans C:\Windows\, et non le binaire source Medulla.
Pourquoi PAExec s'exécute-t-il avec le compte SYSTEM ?
Ce comportement est attendu.
PAExec installe temporairement un service Windows afin d'exécuter l'action distante.
L'exécution se fait donc avec :
NT AUTHORITY\SYSTEM
avec l'argument :
-service
Ce comportement est nécessaire au fonctionnement de l'administration distante Medulla.
Quels comportements peuvent déclencher une alerte EDR ?
Les éléments suivants peuvent être surveillés par Trend Micro :
|
ID |
Journal |
Description |
Attendu |
|
7045 |
System |
Installation du service PAExec temporaire |
Oui |
|
7036 |
System |
Démarrage du service PAExec |
Oui |
|
5145 |
Security |
Accès au partage ADMIN$ |
Oui |
|
5145 |
Security |
Accès aux named pipes stdin/stdout/stderr |
Oui |
|
4648 |
Security |
Authentification avec credentials explicites |
Possible |
Les événements sur les pipes nommés :
*-stdin *-stdout *-stderr
sont particulièrement surveillés par les EDR car ils caractérisent le fonctionnement PsExec/PAExec.
Ces comportements sont légitimes dans le contexte Medulla, mais similaires à ceux utilisés par certains outils de déplacement latéral.
Puis-je exclure uniquement paexec.exe ?
Non.
L'exclusion suivante seule n'est généralement pas suffisante :
C:\Program Files\Medulla\bin\paexec.exe
En effet, l'EDR détecte principalement la copie temporaire créée lors de l'exécution distante :
C:\Windows\PAExec-*.exe
et non uniquement le binaire source.
Quelles exclusions appliquer dans Trend Micro ?
Il est recommandé d'utiliser l'exclusion la plus restrictive possible afin de conserver un niveau de sécurité optimal.
Les exclusions doivent idéalement être limitées :
- Aux postes équipés de l'agent Medulla
- Au binaire PAExec utilisé par Medulla
- Au contexte d'exécution attendu
Option A — Exclusion par hash SHA256 (recommandée)
Méthode privilégiée.
Ajouter une autorisation basée sur l'empreinte SHA256 du binaire :
C:\Program Files\Medulla\bin\paexec.exe
Le hash correspond également à la copie temporaire :
C:\Windows\PAExec-*.exe
car le fichier est copié à l'identique.
Récupération du hash :
Get-FileHash "C:\Program Files\Medulla\bin\paexec.exe" -Algorithm SHA256
Avantages :
- Vérifie l'intégrité exacte du binaire
- Limite le risque d'autoriser un autre exécutable portant le même nom
- Adapté aux politiques EDR strictes
Option B — Exclusion par chemin avec conditions
Si l'exclusion par hash n'est pas possible, utiliser une exclusion par chemin avec restrictions.
Chemin recommandé :
C:\Windows\PAExec-*.exe
Conditions recommandées :
| Paramètre | Valeur |
| Compte d'exécution | NT AUTHORITY\SYSTEM |
| Argument | -service |
| Processus parent attendu | Agent Medulla |
Cette méthode est moins restrictive qu'une exclusion par hash.
Liste des exclusions recommandées
Processus / fichiers
| Composant | Chemin |
| Agent Medulla | C:\Program Files\Medulla\ |
| Binaire PAExec | C:\Program Files\Medulla\bin\paexec.exe |
| Copie temporaire PAExec | C:\Windows\PAExec-*.exe |
| Python agent Medulla | C:\Program Files\Medulla\bin\python*.exe |
Dossiers
Exclusions possibles :
C:\Program Files\Medulla\
C:\ProgramData\Medulla\
C:\Windows\PAExec-*.exe
Le hash SHA256 change-t-il après une mise à jour Medulla ?
Oui.
Lorsqu'une nouvelle version de PAExec est intégrée dans Medulla, son empreinte SHA256 peut changer.
Après chaque mise à jour majeure de l'agent Medulla :
- Vérifier le hash du nouveau binaire.
- Mettre à jour la règle d'autorisation Trend Micro si nécessaire.
- Vérifier que les agents récupèrent correctement la nouvelle politique.
Résumé des éléments techniques
| Élément | Valeur |
| Binaire source | C:\Program Files\Medulla\bin\paexec.exe |
| Fichier détecté par l'EDR | C:\Windows\PAExec-<PID>-<NomPoste>.exe |
| Mécanisme | Copie temporaire via administration distante |
| Compte d'exécution | NT AUTHORITY\SYSTEM |
| Argument attendu | -service |
| Composant Medulla concerné | scheduling_launch_kiosk.py |
| Exclusion recommandée | Hash SHA256 + contexte d'exécution |
| Exclusion à éviter seule | C:\Program Files\Medulla\bin\paexec.exe uniquement |
Bonnes pratiques
- Privilégier une exclusion par hash lorsque cela est possible.
- Éviter les exclusions globales sur
C:\Windows\. - Documenter chaque règle d'exclusion :
- Motif
- Date de création
- Version Medulla concernée
- Hash autorisé
- Réévaluer régulièrement les exclusions selon la politique de sécurité en vigueur.
Sources
- Documentation FAQ Medulla sur les alertes EDR liées à PAExec :
- Documentation Medulla sur les exclusions et le comportement PAExec :