Skip to content

Un utilisateur a ouvert un document Office et activé les macros ; l'EDR montre ensuite un processus enfant engendré par Word. Quelle est votre première action ?

Réponse courte

Word engendrant un processus enfant juste après l'activation des macros est un schéma classique d'accès initial par document malveillant. Isolez l'hôte pour limiter la propagation, capturez les preuves volatiles, et enquêtez sur le processus engendré, son activité réseau et toute persistance. Demander à l'utilisateur de fermer le fichier ou réparer Office ne traite pas une charge utile en cours d'exécution qui a peut-être déjà tourné. Ne rien faire parce que le fichier est arrivé par e-mail est à l'envers — l'e-mail est précisément le vecteur de livraison de cette attaque. Confinez d'abord, puis enquêtez.

Lorsqu'un utilisateur active les macros dans un document Office et que Word (winword.exe) engendre immédiatement un processus enfantpowershell.exe, cmd.exe, wscript.exe ou un binaire déposé — c'est la signature classique d'un document malveillant livrant un accès initial. La macro est le lanceur de la charge utile ; le processus enfant est la charge utile (ou son téléchargeur) en cours d'exécution. C'est l'une des manières les plus courantes dont débutent les intrusions.

La bonne première action : confiner, puis enquêter

  • Isolez l'hôte via l'EDR pour couper tout commandement et contrôle et empêcher la charge utile de se propager latéralement, tout en le gardant sous tension afin de ne pas perdre les preuves en mémoire.
  • Capturez les données volatiles — processus en cours, connexions réseau, arborescence complète des processus, modules chargés — avant qu'elles ne changent.
  • Enquêtez sur le processus engendré : ce qu'il est, ce qu'il a contacté, ce qu'il a écrit sur le disque, et s'il a créé une persistance (une tâche planifiée, une clé Run ou un service). Cela vous indique si un seul hôte isolé suffit ou si vous avez un problème plus large.

Pourquoi les distracteurs échouent

  • « Dire à l'utilisateur de fermer le document » ne fait rien contre une charge utile qui s'est déjà exécutée. Fermer Word ne tue pas un powershell.exe engendré ni n'annule la persistance.
  • « Lancer une réparation d'Office » traite cela comme un dysfonctionnement applicatif. Ce n'est pas un dysfonctionnement — c'est de l'exécution de code.
  • « Rien — les macros sont sûres si le fichier est arrivé par e-mail » est exactement inversé. Les pièces jointes d'e-mail sont le principal canal de livraison des macros malveillantes (MITRE ATT&CK T1566.001). L'origine le rend plus suspect, pas moins.

Ce que l'examinateur cherche à évaluer

Même à un niveau junior, si votre réflexe face à une alerte en direct est de confiner et préserver les preuves plutôt que de faire le ménage ou de prendre ses désirs pour des réalités. Ils veulent voir que vous reconnaissez la macro-vers-processus-enfant comme un accès initial et que vous n'alertez pas l'utilisateur ni ne détruisez l'état volatil avant d'avoir compris ce qui s'est exécuté.

Questions de suivi probables

  • Que fait typiquement une macro malveillante une fois exécutée — nommez les étapes suivantes courantes ?
  • Pourquoi garder l'hôte sous tension lorsque vous l'isolez, et quelles données volatiles récupéreriez-vous ?
  • Comment confirmeriez-vous si la charge utile a établi une persistance avant que vous ne l'ayez confinée ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.