Alertes Trend Micro sur PAExec utilisé par Medulla
S'applique à : Medulla / Trend Micro Apex One / Vision One / Worry-Free Business Security
Version : Toutes
Environnement : Windows / On-Premise / SaaS
Catégorie : Sécurité / Antivirus / Behavior Monitoring / Télé-exécution
Contexte
Medulla utilise PAExec, un équivalent open source de PsExec/Sysinternals, afin d'exécuter des actions à distance sur les postes Windows administrés :
- Déploiement d'applications
- Exécution de scripts planifiés
- Orchestration de tâches depuis le kiosque applicatif
- Actions de maintenance ou de remédiation
Important : Toute mesure d'exclusion de sécurité (EDR, antivirus, liste blanche) doit être réévaluée régulièrement afin de s'assurer qu'elle reste pertinente au regard du contexte, des versions logicielles et de votre politique de sécurité. Il est recommandé d'appliquer des exclusions les plus restrictives possibles.
Dans Medulla, ce mécanisme est notamment utilisé par le composant :
scheduling_launch_kiosk.py
PAExec adopte volontairement un comportement similaire à PsExec, outil légitime largement utilisé par les administrateurs systèmes mais également connu comme vecteur de mouvement latéral dans certains scénarios d'attaque.
Les EDR modernes, dont Trend Micro Apex One, surveillent donc ce type de comportement par défaut et peuvent lever une alerte, voire bloquer le processus selon le mode de la politique appliquée (détection ou protection).
Pourquoi Trend Micro détecte-t-il PAExec ?
Lorsqu'une action distante est exécutée par Medulla, PAExec suit généralement le cycle suivant :
- Le binaire PAExec est appelé depuis l'agent Medulla.
- Une copie temporaire est déposée sur le poste cible dans C:\Windows.
- Cette copie est exécutée en tant que service Windows temporaire.
- Le fichier temporaire est supprimé après l'exécution.
Le fichier détecté par l'EDR n'est donc généralement pas le binaire source Medulla, mais sa copie temporaire.
Exemple :
C:\Windows\PAExec-2124-NOMPOSTE.exe
Le binaire d'origine reste :
C:\Program Files\Medulla\bin\paexec.exe
Information :
L’EDR détecte principalement la copie temporaire déposée dans C:\Windows\, et non le binaire source Medulla.
Pourquoi PAExec s'exécute-t-il avec le compte SYSTEM ?
Ce comportement est attendu.
PAExec installe temporairement un service Windows afin d'exécuter l'action distante.
L'exécution se fait donc avec :
NT AUTHORITY\SYSTEM
avec l'argument :
-service
Ce comportement est nécessaire au fonctionnement de l'administration distante Medulla.
Quels comportements peuvent déclencher une alerte EDR ?
Les éléments suivants peuvent être surveillés par Trend Micro :
|
ID |
Journal |
Description |
Attendu |
|
7045 |
System |
Installation du service PAExec temporaire |
Oui |
|
7036 |
System |
Démarrage du service PAExec |
Oui |
|
5145 |
Security |
Accès au partage ADMIN$ |
Oui |
|
5145 |
Security |
Accès aux named pipes stdin/stdout/stderr |
Oui |
|
4648 |
Security |
Authentification avec credentials explicites |
Possible |
Les événements sur les pipes nommés :
*-stdin *-stdout *-stderr
sont particulièrement surveillés par les EDR car ils caractérisent le fonctionnement PsExec/PAExec.
Ces comportements sont légitimes dans le contexte Medulla, mais similaires à ceux utilisés par certains outils de déplacement latéral.
Puis-je exclure uniquement paexec.exe ?
Non.
L'exclusion suivante seule n'est généralement pas suffisante :
C:\Program Files\Medulla\bin\paexec.exe
En effet, l'EDR détecte principalement la copie temporaire créée lors de l'exécution distante :
C:\Windows\PAExec-*.exe
et non uniquement le binaire source.
Quelles exclusions appliquer dans Trend Micro ?
Il est recommandé d'utiliser l'exclusion la plus restrictive possible afin de conserver un niveau de sécurité optimal.
Les exclusions doivent idéalement être limitées :
- Aux postes équipés de l'agent Medulla
- Au binaire PAExec utilisé par Medulla
- Au contexte d'exécution attendu
Option A — Exclusion par hash SHA256 (recommandée)
Méthode privilégiée.
Ajouter une autorisation basée sur l'empreinte SHA256 du binaire :
C:\Program Files\Medulla\bin\paexec.exe
Le hash correspond également à la copie temporaire :
C:\Windows\PAExec-*.exe
car le fichier est copié à l'identique.
Récupération du hash :
Get-FileHash "C:\Program Files\Medulla\bin\paexec.exe" -Algorithm SHA256
Avantages :
- Vérifie l'intégrité exacte du binaire
- Limite le risque d'autoriser un autre exécutable portant le même nom
- Adapté aux politiques EDR strictes
Option B — Exclusion par chemin avec conditions
Si l'exclusion par hash n'est pas possible, utiliser une exclusion par chemin avec restrictions.
Chemin recommandé :
C:\Windows\PAExec-*.exe
Conditions recommandées :
| Paramètre | Valeur |
| Compte d'exécution | NT AUTHORITY\SYSTEM |
| Argument | -service |
| Processus parent attendu | Agent Medulla |
Cette méthode est moins restrictive qu'une exclusion par hash.
Liste des exclusions recommandées
Processus / fichiers
| Composant | Chemin |
| Agent Medulla | medulla.exe |
| Agent Medulla | C:\Program Files\Medulla\ |
| Binaire PAExec | C:\Program Files\Medulla\bin\paexec.exe |
| Copie temporaire PAExec | C:\Windows\PAExec-*.exe |
| Python agent Medulla | C:\Program Files\Medulla\bin\python*.exe |
| Scheduler / kiosque | C:\Program Files\Medulla\bin\python*.exe |
| Client SSH (télémaintenance) | scheduling_launch_kiosk.py |
Dossiers
Exclusions possibles :
C:\Program Files\Medulla\
C:\ProgramData\Medulla\
C:\Windows\PAExec-*.exe
Le hash SHA256 change-t-il après une mise à jour Medulla ?
Oui.
Lorsqu'une nouvelle version de PAExec est intégrée dans Medulla, son empreinte SHA256 peut changer.
Après chaque mise à jour majeure de l'agent Medulla :
- Vérifier le hash du nouveau binaire.
- Mettre à jour la règle d'autorisation Trend Micro si nécessaire.
- Vérifier que les agents récupèrent correctement la nouvelle politique.
Résumé des éléments techniques
| Élément | Valeur |
| Processus Agent | medulla.exe |
| Binaire source | C:\Program Files\Medulla\bin\paexec.exe |
| Fichier détecté par l'EDR | C:\Windows\PAExec-<PID>-<NomPoste>.exe |
| Mécanisme | Copie temporaire via administration distante |
| Compte d'exécution | NT AUTHORITY\SYSTEM |
| Argument attendu | -service |
| Composant Medulla concerné | scheduling_launch_kiosk.py |
| Exclusion recommandée | Hash SHA256 + contexte d'exécution |
| Exclusion à éviter seule | C:\Program Files\Medulla\bin\paexec.exe uniquement |
Bonnes pratiques
- Privilégier une exclusion par hash lorsque cela est possible.
- Éviter les exclusions globales sur
C:\Windows\. - Documenter chaque règle d'exclusion :
- Motif
- Date de création
- Version Medulla concernée
- Hash autorisé
- Réévaluer régulièrement les exclusions selon la politique de sécurité en vigueur.
Comment ajouter une exclusion de fichier dans Trend Micro ?
Cette section décrit la procédure permettant d'ajouter les exclusions nécessaires pour éviter les détections légitimes de PAExec utilisé par Medulla.
Les exclusions Trend Micro peuvent être appliquées sur :
- Les dossiers
- Les fichiers spécifiques
- Les extensions de fichiers
Ces exclusions peuvent être utilisées pour les scans suivants :
- Analyse en temps réel (**Real-Time Scan**)
- Analyse planifiée (**Scheduled Scan**)
- Analyse manuelle (**Manual Scan**)
:contentReference[oaicite:1]{index=1}
---
Accéder à la configuration des exclusions
1. Se connecter à la console d'administration Trend Micro.
2. Accéder à la configuration des stratégies :
Mode classique
Security Agents
→ Sélectionner le groupe concerné
→ Configure Policy
Mode avancé
Policies
→ Policy Management
→ Sélectionner une stratégie existante
ou créer une nouvelle stratégie
Ouvrir la configuration Windows :
Windows
→ Scan Exclusions
Activer les exclusions
Dans la section :
Real-Time Scan / Scheduled Scan / Manual Scan
Activer les exclusions si nécessaire.