NtInitiatePowerAction
Demande au power manager d'effectuer une action d'alimentation système (veille, hibernation, arrêt, redémarrage).
Prototype
NTSTATUS NtInitiatePowerAction( POWER_ACTION SystemAction, SYSTEM_POWER_STATE MinSystemState, ULONG Flags, BOOLEAN Asynchronous );
Arguments
| Name | Type | Dir | Description |
|---|---|---|---|
| SystemAction | POWER_ACTION | in | Action à effectuer : Sleep, Hibernate, Shutdown, ShutdownReset, ShutdownOff, WarmEject, DisplayOff. |
| MinSystemState | SYSTEM_POWER_STATE | in | État cible minimal acceptable (PowerSystemWorking..PowerSystemShutdown). |
| Flags | ULONG | in | Flags POWER_ACTION_* contrôlant la politique : QUERY_ALLOWED, UI_ALLOWED, OVERRIDE_APPS, DISABLE_WAKES, CRITICAL. |
| Asynchronous | BOOLEAN | in | TRUE renvoie immédiatement ; FALSE bloque jusqu'à ce que l'action soit complètement arbitrée. |
IDs de syscalls par version de Windows
| Version de Windows | ID de syscall | Build |
|---|---|---|
| Win10 1507 | 0xF1 | win10-1507 |
| Win10 1607 | 0xF5 | win10-1607 |
| Win10 1703 | 0xF8 | win10-1703 |
| Win10 1709 | 0xF9 | win10-1709 |
| Win10 1803 | 0xFA | win10-1803 |
| Win10 1809 | 0xFB | win10-1809 |
| Win10 1903 | 0xFC | win10-1903 |
| Win10 1909 | 0xFC | win10-1909 |
| Win10 2004 | 0x101 | win10-2004 |
| Win10 20H2 | 0x101 | win10-20h2 |
| Win10 21H1 | 0x101 | win10-21h1 |
| Win10 21H2 | 0x102 | win10-21h2 |
| Win10 22H2 | 0x102 | win10-22h2 |
| Win11 21H2 | 0x107 | win11-21h2 |
| Win11 22H2 | 0x108 | win11-22h2 |
| Win11 23H2 | 0x108 | win11-23h2 |
| Win11 24H2 | 0x10A | win11-24h2 |
| Server 2016 | 0xF5 | winserver-2016 |
| Server 2019 | 0xFB | winserver-2019 |
| Server 2022 | 0x106 | winserver-2022 |
| Server 2025 | 0x10A | winserver-2025 |
Module noyau
APIs liées
Stub du syscall
4C 8B D1 mov r10, rcx B8 0A 01 00 00 mov eax, 0x10A F6 04 25 08 03 FE 7F 01 test byte ptr [0x7FFE0308], 1 75 03 jne short +3 0F 05 syscall C3 ret CD 2E int 2Eh C3 ret
Notes non documentées
Point d'entrée haut niveau des actions d'alimentation : `InitiatePowerActionW`, `SetSuspendState` (via powrprof.dll), `ExitWindowsEx` (pour les variantes shutdown/reboot) et les chemins rapides Modern Standby passent tous par ici. Contrairement à `NtSetSystemPowerState`, cette fonction passe par le **power policy manager** : elle diffuse WM_POWERBROADCAST / PBT_APMQUERYSUSPEND aux processus en cours, honore `QUERY_ALLOWED` (les apps peuvent refuser) et ne délègue ensuite à `NtSetSystemPowerState` que si la politique le permet. Requiert `SeShutdownPrivilege`. Le paramètre `Asynchronous` est le bouton opérationnel critique — async revient immédiatement et l'appelant ne peut pas détecter un refus ; sync bloque jusqu'à reprise ou veto d'un driver/app.
Usage courant par les malwares
**Le reboot post-chiffrement ransomware** est l'abus dominant. Royal, BlackCat/ALPHV, Conti, LockBit 3.0 et BlackSuit émettent tous un reboot de classe InitiatePowerAction après avoir écrit la note de rançon — l'objectif est de pousser les utilisateurs vers l'écran de récupération ou Windows RE, ce qui met de manière fiable la note de rançon à l'écran et empêche un rollback rapide via les Volume Shadow Copies encore en mémoire. **Les wipers** (HermeticWiper, IsaacWiper, WhisperGate, CaddyWiper) déclenchent de même un ShutdownReset pour faire redémarrer la machine avec des données de boot corrompues. Une classe plus restreinte de loaders red-team appelle PowerActionSleep avec `DISABLE_WAKES | CRITICAL` pour évader des sessions sandbox de courte durée. L'exigence de privilège (SeShutdownPrivilege) est triviale pour du malware en admin ou LocalSystem, mais pour du code utilisateur peu privilégié le check échoue — la plupart des ransomwares embarquent une primitive d'élévation préalable.
Opportunités de détection
Le provider ETW Microsoft-Windows-Kernel-Power émet des événements structurés pour chaque initiate-power-action : PID source, action, flags, succès/échec. Journal d'événements : le log System enregistre l'Event ID 1074 pour le processus initiateur de tout shutdown/reboot user-initiated (propre), 6005/6006 pour l'init service pack, 6008 pour les shutdowns sales. La règle comportementale la plus actionnable : un processus qui a fait >N écritures/modifications de fichiers dans les 60 dernières secondes puis appelle une action d'alimentation de classe Shutdown/Reset — c'est un indicateur ransomware quasi parfait. L'ajustement de SeShutdownPrivilege depuis un token non-interactif est en lui-même inhabituel et mérite une alerte. Les EDR qui hookent ntdll voient cet appel directement ; les variantes en syscall direct contournent ntdll mais laissent quand même la trace ETW.
Exemples de syscalls directs
asmx64 direct stub (Win11 24H2)
; Direct syscall stub for NtInitiatePowerAction (SSN 0x10A on Win11 24H2)
NtInitiatePowerAction PROC
mov r10, rcx ; syscall convention
mov eax, 10Ah ; SSN — varies per build
syscall
ret
NtInitiatePowerAction ENDPcRansomware post-encryption reboot
// Final step after the encryption pass and ransom-note drop.
// PowerActionShutdownReset = 6 (reboot), PowerSystemShutdown = 6.
// Flags = POWER_ACTION_DISABLE_WAKES | POWER_ACTION_CRITICAL
// | POWER_ACTION_OVERRIDE_APPS bypass app refusal.
#include <windows.h>
#include <winternl.h>
typedef NTSTATUS (NTAPI *pNtInitiatePowerAction)(ULONG, ULONG, ULONG, BOOLEAN);
VOID PostEncryptReboot(VOID) {
pNtInitiatePowerAction NtInitiatePowerAction = (pNtInitiatePowerAction)
GetProcAddress(GetModuleHandleA("ntdll.dll"), "NtInitiatePowerAction");
// SeShutdownPrivilege assumed already enabled
NtInitiatePowerAction(
/* SystemAction */ 6,
/* MinSystemState */ 6,
/* Flags */ 0xC0010000, // CRITICAL | DISABLE_WAKES | OVERRIDE_APPS
/* Asynchronous */ FALSE);
}rustSandbox evasion via critical sleep
// Cargo: windows-sys = "0.59"
// Try to put the analysis VM into S3 sleep before the loader's real work runs.
// Async + DISABLE_WAKES prevents most sandbox harnesses from resuming it cleanly.
use windows_sys::Win32::Security::*;
use windows_sys::Win32::System::Threading::*;
use windows_sys::Win32::Foundation::*;
extern "system" {
fn NtInitiatePowerAction(action: u32, min_state: u32, flags: u32, asynch: u8) -> i32;
}
pub unsafe fn evade_via_sleep() -> i32 {
let mut tok: HANDLE = std::mem::zeroed();
OpenProcessToken(GetCurrentProcess(),
TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &mut tok);
// (omitted: LookupPrivilegeValueW + AdjustTokenPrivileges for SeShutdownPrivilege)
// PowerActionSleep = 2, PowerSystemSleeping3 = 5
NtInitiatePowerAction(2, 5, 0x40000000 /* DISABLE_WAKES */, 1)
}Mappings MITRE ATT&CK
Last verified: 2026-05-20