Analyse d'Artefact : PsExec et Mouvement Latéral

Note

Résumé exécutif : développé dans le cadre de la suite Microsoft Sysinternals, PsExec est un utilitaire en ligne de commande légitime conçu pour l’administration système à distance. Cependant, sa fiabilité et son utilisation des protocoles Windows natifs (SMB, RPC) en ont fait un outil de base pour les acteurs malveillants et les groupes APT menant des mouvements latéraux. Étant un binaire signé et légitime, il s’inscrit dans les techniques “Living off the Land” (LOLBAS), contournant la détection antivirus traditionnelle et exigeant une analyse forensique comportementale.

1. L’anatomie de l’exécution à distance

Afin de traquer efficacement PsExec, les analystes DFIR doivent comprendre son flux d’exécution très spécifique. L’outil ne s’appuie pas sur des exploits traditionnels ; il abuse des partages administratifs légitimes de Windows et du Gestionnaire de contrôle des services (SCM).

1. Authentification : l’attaquant exécute psexec.exe depuis la machine source, en fournissant des identifiants disposant des privilèges d’administrateur local sur le terminal cible.
2. Accès SMB et partage caché : PsExec s’authentifie sur le port 445 et monte le partage caché administratif de la cible, généralement ADMIN$ (qui correspond à C:\Windows).
3. Dépôt de la charge (Dropping) : l’outil copie un exécutable de service spécifique, nommé PSEXESVC.exe, dans le répertoire %SystemRoot% de la cible.
4. Création du service : utilisant les appels de procédure distante (RPC), PsExec interagit avec le Gestionnaire de services de la cible pour créer un service Windows temporaire (à démarrage manuel) nommé PSEXESVC.
5. Exécution et Pipes nommés : le SCM démarre le service, qui s’exécute avec les privilèges NT AUTHORITY\SYSTEM. Le service crée ensuite un “pipe nommé” (ex: \pipe\psexecsvc) pour rediriger l’entrée et la sortie standard (stdin/stdout) vers le terminal de l’attaquant, établissant ainsi un shell interactif.
6. Nettoyage (Anti-Forensique) : à la fermeture de la session, PsExec tente d’arrêter le service, de supprimer sa configuration et d’effacer le binaire PSEXESVC.exe.

2. Investigation forensique et traces

Bien que PsExec tente de nettoyer ses traces, la chaîne d’exécution génère des artefacts très persistants dans les journaux d’événements Windows et sur le système de fichiers.

A. Journaux d’événements Windows (la source principale)

• Événement 7045 (Création de service) : c’est l’indicateur de la plus haute fidélité. Cherchez dans le journal System l’installation d’un nouveau service nommé PSEXESVC avec le chemin d’image C:\Windows\PSEXESVC.exe. Même si l’attaquant supprime le service par la suite, l’événement de création reste consigné de façon permanente.
• Événement 4624 (Connexion réussie) : dans le journal Security, vous observerez une séquence :
  • Un Logon Type 3 (Réseau) représentant l’authentification SMB vers le partage ADMIN$.
  • Suivi immédiatement par un Logon Type 5 (Service) lorsque le compte SYSTEM démarre le service déposé.
• Événement 4688 (Création de processus) : si l’audit des lignes de commande est activé, les analystes observeront une filiation de processus très distinctive : services.exe -> PSEXESVC.exe -> cmd.exe (ou la charge utile spécifique exécutée par l’attaquant).

B. Système de fichiers et artefacts d’exécution

Si la connexion de l’attaquant est interrompue inopinément ou si la routine de nettoyage échoue, le binaire PSEXESVC.exe restera orphelin dans le répertoire C:\Windows\. Même s’il est supprimé avec succès, les analystes doivent croiser les données avec les fichiers Prefetch (.pf) et l’Amcache sur la machine cible. Ces artefacts prouveront de manière définitive que PSEXESVC.exe a été exécuté, fournissant des horodatages d’exécution précis.

3. La nuance de la variante “Impacket”

Dans la réponse à incident moderne, les acteurs de la menace (y compris les groupes de ransomwares comme Akira et Qilin) utilisent rarement le binaire officiel de Microsoft. Ils privilégient psexec.py de la suite Impacket.

Danger

Distinction forensique : contrairement à l’outil officiel, le psexec.py d’Impacket tente d’échapper à la détection basique en générant aléatoirement le nom du service et le nom de l’exécutable déposé (ex: création d’un service nommé BTOYxz exécutant C:\Windows\BTOYxz.exe). Les analystes doivent traquer le comportement (un service générant cmd.exe suite à une connexion réseau) plutôt que la simple chaîne statique “PSEXESVC”.

4. Détection et Threat Hunting

Déployez la règle Sigma suivante pour détecter la filiation de processus spécifique associée à PsExec et ses variantes.

Règle Sigma (Filiation)

sigma_psexec_lineage.yaml

title: Suspicious PsExec Service Execution
id: 1a2b3c4d-5e6f-7a8b-9c0d-1e2f3a4b5c6d
status: stable
description: Détecte l'exécution de cmd.exe ou powershell.exe en tant qu'enfant de PSEXESVC.exe, indiquant un mouvement latéral.
logsource:
    category: process_creation
    product: windows
detection:
    selection:
        ParentImage|endswith: '\PSEXESVC.exe'
        Image|endswith:
            - '\cmd.exe'
            - '\powershell.exe'
    condition: selection
level: high
tags:
    - attack.lateral_movement
    - attack.t1569.002

Requête Splunk

hunting_psexec.spl

# Détecte la création du service PsExec classique
index=windows sourcetype="WinEventLog:System" EventCode=7045 ServiceName="PSEXESVC"
| table _time, host, ServiceName, ImagePath, User

5. Atténuation

Pour atténuer les mouvements latéraux via PsExec et les outils basés sur SMB :

• Restreindre les partages administratifs : désactiver les partages ADMIN$ et C$ là où ils ne sont pas strictement requis par les opérations IT.
• Micro-segmentation : bloquer le trafic SMB (Port 445) de poste de travail à poste de travail. Le trafic SMB ne devrait logiquement circuler que des postes vers les serveurs de fichiers ou les contrôleurs de domaine désignés.
• Déploiement LAPS : implémenter la solution LAPS (Local Administrator Password Solution) de Microsoft pour garantir que les identifiants d’administrateur local ne puissent pas être réutilisés sur plusieurs terminaux (Pass-the-Hash).

---

Références

• MITRE ATT&CK :System Services: Service Execution (T1569.002)
• Microsoft Sysinternals : Documentation PsExec
• Artefact lié :Analyse de l’événement 4688 et de la filiation des processus