Analyse d'Artefact : Événements de Connexion Windows (4624 & 4625)

Note

Résumé exécutif : dans le domaine de l’investigation numérique et de la réponse aux incidents (DFIR) sous Windows, l’Événement de sécurité 4624 (Connexion réussie) et l’Événement 4625 (Échec de connexion) constituent la fondation absolue des investigations liées aux identités. Enregistrés dans le journal Sécurité (Security) des terminaux et des contrôleurs de domaine, ces artefacts répondent aux questions fondamentales de toute intrusion : “qui s’est connecté, quand, d’où et comment ?” Maîtriser les subtilités de ces événements — spécifiquement le Logon Type et le protocole d’authentification — est critique pour traquer le mouvement latéral, les campagnes de force brute et le vol d’identifiants.

1. La pierre de Rosette : comprendre les “Logon Types” (Types de connexion)

Le champ le plus critique au sein d’un événement 4624 ou 4625 est le Logon Type. Il définit le mécanisme exact utilisé pour s’authentifier. Sans la contextualisation de ce type de connexion, l’événement est largement dénué de sens.

Logon Type	Nom	Pertinence Forensique et TTPs
2	Interactive	connexion physique au clavier. Pertinence élevée si un attaquant obtient un accès physique, ou utilise l’accès console de virtualisation (ex: console VMware vSphere).
3	Network	accès à une ressource distante, typiquement un partage SMB ou un appel RPC. L’indicateur le plus courant de mouvement latéral. Les attaquants utilisant PsExec ou WMI généreront des événements de Type 3.
4	Batch	exécution d’une tâche planifiée. Crucial pour investiguer la persistance via tâches planifiées.
5	Service	démarrage d’un service Windows.
7	Unlock	un utilisateur déverrouille une session verrouillée existante.
10	RemoteInteractive	connexion via Bureau à distance (RDP) ou Terminal Services. Un indicateur majeur d’accès graphique distant par un adversaire.
11	CachedInteractive	connexion physique utilisant des identifiants mis en cache (ex: un ordinateur portable déconnecté du contrôleur de domaine).

2. Anatomie de l’Événement 4624 (Connexion réussie)

Lors de l’analyse d’un événement 4624, les analystes DFIR doivent décomposer les données XML en catégories opérationnelles distinctes.

• Sujet (Qui a initié l’action ?) : le compte ayant demandé la connexion. Pour les connexions réseau (Type 3), il s’agit souvent de SYSTEM, car le système local traite la requête réseau entrante.
• Nouvelle connexion (Qui s’est authentifié ?) :
  • Security ID / Account Name : le compte utilisateur spécifique qui s’est connecté avec succès.
  • Account Domain : différencie les comptes locaux (le nom d’hôte) des comptes de domaine (le domaine AD).
  • TargetLogonId : un identifiant hexadécimal très précieux. Les analystes peuvent utiliser cet ID pour corréler l’événement de connexion avec les Événements 4688 (Création de processus) subséquents, ou avec l’éventuel Événement 4634/4647 (Déconnexion) pour déterminer la durée exacte de la session.
• Informations réseau (Depuis où ?) :
  • Source Network Address : l’adresse IP de la machine à l’origine de la connexion. Il s’agit du point de pivot principal pour tracer le mouvement latéral.
• Informations détaillées sur l’authentification :
  • Authentication Package : spécifie si l’authentification a utilisé Kerberos ou NTLM.

3. Scénarios d’investigation DFIR

A. Force brute et Password Spraying

• La signature : un volume massif d’Événements 4625 (Échec) sur de multiples comptes, provenant d’une seule ou de quelques Source Network Addresses, suivi de manière abrupte par un unique Événement 4624 (Succès) pour l’un de ces comptes.
• Stratégie de chasse : interroger les contrôleurs de domaine (DC) pour détecter les événements 4625 excessifs. Dans les environnements cloud, corrélez cela avec les journaux de connexion Entra ID.

B. Traçage du mouvement latéral

• La signature : un Événement 4624 réussi - Logon Type 3 (Network) sur des serveurs critiques, provenant de l’adresse IP d’un poste de travail compromis.
• Exemple : un analyste investiguant WKSTN-01 examine les journaux du serveur SRV-FINANCE. Il trouve une connexion de Type 3 pour AdminUser provenant de l’IP de WKSTN-01. Cela cartographie définitivement le pivot interne de l’attaquant.

C. Détection du Pass-the-Hash (PtH)

• La signature : les attaquants exploitant des hashs NTLM volés ne peuvent pas utiliser Kerberos pour s’authentifier. Par conséquent, un Événement 4624 - Logon Type 3 réussi utilisant le package d’authentification NTLM (au lieu de Kerberos) dans un environnement Active Directory moderne est un indicateur de très haute fidélité d’une attaque Pass-the-Hash.

D. Détournement RDP suspect

• La signature : un Événement 4624 - Logon Type 10 (RemoteInteractive) où la Source Network Address est une adresse IP publique géographiquement déconnectée des opérations de l’entreprise, ou provenant d’un nœud de sortie Tor/service VPN connu.

4. Threat Hunting et règles de détection

Déployez les règles comportementales suivantes dans votre SIEM pour chasser de manière proactive les attaques basées sur l’identité.

KQL (Password Spraying)

hunt_password_spraying.kql

// Détecte les attaques potentielles de Password Spraying suivies d'une compromission réussie
let FailedLogons = SecurityEvent
| where EventID == 4625
| summarize FailedCount = count(), TargetedAccounts = make_set(Account) by IpAddress, bin(TimeGenerated, 10m)
| where FailedCount > 20; // Ajuster le seuil selon l'environnement

let SuccessfulLogons = SecurityEvent
| where EventID == 4624
| project TimeGenerated, IpAddress, CompromisedAccount = Account;

// Jointure des échecs avec les connexions réussies depuis la même IP dans un laps de temps court
FailedLogons
| join kind=inner (SuccessfulLogons) on IpAddress
| where TimeGenerated >= TimeGenerated - 10m
| project TimeGenerated, IpAddress, FailedCount, TargetedAccounts, CompromisedAccount
| sort by TimeGenerated desc

Sigma (Indicateur Pass-the-Hash)

sigma_pth_ntlm_type3.yaml

title: Activité potentielle de Pass-the-Hash (NTLM Logon Type 3)
id: 1a2b3c4d-5e6f-7a8b-9c0d-1e2f3a4b5c6d
status: experimental
description: Détecte une connexion réseau (Type 3) utilisant l'authentification NTLM au lieu de Kerberos pour des comptes administratifs, ce qui est fortement révélateur d'un mouvement latéral Pass-the-Hash.
logsource:
    product: windows
    service: security
detection:
    selection:
        EventID: 4624
        LogonType: 3
        AuthenticationPackageName: 'NTLM'
        # Se concentrer sur les comptes hautement privilégiés (à adapter à votre environnement)
        TargetUserName|contains|any:
            - 'admin'
            - 'svc_'
            - 'administrator'
    condition: selection
level: high
tags:
    - attack.lateral_movement
    - attack.t1550.002

---

Références et lectures complémentaires

• SANS Institute : Windows Forensic Analysis
• MITRE ATT&CK : Use Alternate Authentication Material: Pass the Hash (T1550.002)
• Artefact lié : Événement 4688 et Filiation des processus
• Artefact lié : Traces de mouvement latéral avec PsExec