Skip to main content

Alertes Trend Micro sur PAExec utilisé par Medulla

S'applique à : Medulla / Trend Micro Apex One / Vision One / Worry-Free Business Security
Version : Toutes
Environnement : Windows / On-Premise / SaaS
Catégorie : Sécurité / Antivirus / Behavior Monitoring / Télé-exécution

Contexte

Medulla utilise PAExec, un équivalent open source de PsExec/Sysinternals, afin d'exécuter des actions à distance sur les postes Windows administrés :

  • Déploiement d'applications
  • Exécution de scripts planifiés
  • Orchestration de tâches depuis le kiosque applicatif
  • Actions de maintenance ou de remédiation

Important : Toute mesure d'exclusion de sécurité (EDR, antivirus, liste blanche) doit être réévaluée régulièrement afin de s'assurer qu'elle reste pertinente au regard du contexte, des versions logicielles et de votre politique de sécurité. Il est recommandé d'appliquer des exclusions les plus restrictives possibles.

Dans Medulla, ce mécanisme est notamment utilisé par le composant :

scheduling_launch_kiosk.py

PAExec adopte volontairement un comportement similaire à PsExec, outil légitime largement utilisé par les administrateurs systèmes mais également connu comme vecteur de mouvement latéral dans certains scénarios d'attaque.

Les EDR modernes, dont Trend Micro Apex One, surveillent donc ce type de comportement par défaut et peuvent lever une alerte, voire bloquer le processus selon le mode de la politique appliquée (détection ou protection).


Pourquoi Trend Micro détecte-t-il PAExec ?

Lorsqu'une action distante est exécutée par Medulla, PAExec suit généralement le cycle suivant :

  1. Le binaire PAExec est appelé depuis l'agent Medulla.
  2. Une copie temporaire est déposée sur le poste cible dans C:\Windows.
  3. Cette copie est exécutée en tant que service Windows temporaire.
  4. Le fichier temporaire est supprimé après l'exécution.

Le fichier détecté par l'EDR n'est donc généralement pas le binaire source Medulla, mais sa copie temporaire.

Exemple :

C:\Windows\PAExec-2124-NOMPOSTE.exe

Le binaire d'origine reste :

C:\Program Files\Medulla\bin\paexec.exe

Information :
L’EDR détecte principalement la copie temporaire déposée dans C:\Windows\, et non le binaire source Medulla.

Pourquoi PAExec s'exécute-t-il avec le compte SYSTEM ?

Ce comportement est attendu.

PAExec installe temporairement un service Windows afin d'exécuter l'action distante.

L'exécution se fait donc avec :

NT AUTHORITY\SYSTEM

avec l'argument :

-service

Ce comportement est nécessaire au fonctionnement de l'administration distante Medulla.


Quels comportements peuvent déclencher une alerte EDR ?

Les éléments suivants peuvent être surveillés par Trend Micro :

ID

Journal

Description

Attendu

7045

System

Installation du service PAExec temporaire

Oui

7036

System

Démarrage du service PAExec

Oui

5145

Security

Accès au partage ADMIN$

Oui

5145

Security

Accès aux named pipes stdin/stdout/stderr

Oui

4648

Security

Authentification avec credentials explicites

Possible

Les événements sur les pipes nommés :

*-stdin   *-stdout   *-stderr

sont particulièrement surveillés par les EDR car ils caractérisent le fonctionnement PsExec/PAExec.

Ces comportements sont légitimes dans le contexte Medulla, mais similaires à ceux utilisés par certains outils de déplacement latéral.


Puis-je exclure uniquement paexec.exe ?

Non.

L'exclusion suivante seule n'est généralement pas suffisante :

C:\Program Files\Medulla\bin\paexec.exe

En effet, l'EDR détecte principalement la copie temporaire créée lors de l'exécution distante :

C:\Windows\PAExec-*.exe

et non uniquement le binaire source.


Quelles exclusions appliquer dans Trend Micro ?

Il est recommandé d'utiliser l'exclusion la plus restrictive possible afin de conserver un niveau de sécurité optimal.

Les exclusions doivent idéalement être limitées :

  • Aux postes équipés de l'agent Medulla
  • Au binaire PAExec utilisé par Medulla
  • Au contexte d'exécution attendu

Option A — Exclusion par hash SHA256 (recommandée)

Méthode privilégiée.

Ajouter une autorisation basée sur l'empreinte SHA256 du binaire :

C:\Program Files\Medulla\bin\paexec.exe

Le hash correspond également à la copie temporaire :

C:\Windows\PAExec-*.exe

car le fichier est copié à l'identique.

Récupération du hash :

Get-FileHash "C:\Program Files\Medulla\bin\paexec.exe" -Algorithm SHA256

Avantages :

  • Vérifie l'intégrité exacte du binaire
  • Limite le risque d'autoriser un autre exécutable portant le même nom
  • Adapté aux politiques EDR strictes

Option B — Exclusion par chemin avec conditions

Si l'exclusion par hash n'est pas possible, utiliser une exclusion par chemin avec restrictions.

Chemin recommandé :

C:\Windows\PAExec-*.exe

Conditions recommandées :

Paramètre Valeur
Compte d'exécution NT AUTHORITY\SYSTEM
Argument -service
Processus parent attendu Agent Medulla

Cette méthode est moins restrictive qu'une exclusion par hash.


Liste des exclusions recommandées

Processus / fichiers

Composant Chemin
Agent Medulla medulla.exe
Agent Medulla C:\Program Files\Medulla\ Binaire PAExec C:\Program Files\Medulla\bin\paexec.exe Copie temporaire PAExec C:\Windows\PAExec-*.exe Python agent Medulla C:\Program Files\Medulla\bin\python*.exe Scheduler / kiosque C:\Program Files\Medulla\bin\python*.exe Client SSH (télémaintenance) scheduling_launch_kiosk.py

Dossiers

Exclusions possibles :

C:\Program Files\Medulla\
C:\ProgramData\Medulla\
C:\Windows\PAExec-*.exe

Le hash SHA256 change-t-il après une mise à jour Medulla ?

Oui.

Lorsqu'une nouvelle version de PAExec est intégrée dans Medulla, son empreinte SHA256 peut changer.

Après chaque mise à jour majeure de l'agent Medulla :

  1. Vérifier le hash du nouveau binaire.
  2. Mettre à jour la règle d'autorisation Trend Micro si nécessaire.
  3. Vérifier que les agents récupèrent correctement la nouvelle politique.

Résumé des éléments techniques

Élément Valeur
Binaire source C:\Program Files\Medulla\bin\paexec.exe
Fichier détecté par l'EDR C:\Windows\PAExec-<PID>-<NomPoste>.exe
Mécanisme Copie temporaire via administration distante
Compte d'exécution NT AUTHORITY\SYSTEM
Argument attendu -service
Composant Medulla concerné scheduling_launch_kiosk.py
Exclusion recommandée Hash SHA256 + contexte d'exécution
Exclusion à éviter seule C:\Program Files\Medulla\bin\paexec.exe uniquement

Bonnes pratiques

  • Privilégier une exclusion par hash lorsque cela est possible.
  • Éviter les exclusions globales sur C:\Windows\.
  • Documenter chaque règle d'exclusion :
    • Motif
    • Date de création
    • Version Medulla concernée
    • Hash autorisé
  • Réévaluer régulièrement les exclusions selon la politique de sécurité en vigueur.

Sources

  • Documentation FAQ Medulla sur les alertes EDR liées à PAExec :
  • Documentation Medulla sur les exclusions et le comportement PAExec :