Analyse d'Artefact : Événements d'Accès aux Objets (4663, 5140, 5145)

Note

Résumé exécutif : les événements d’accès aux objets au sein du journal de sécurité Windows offrent le niveau de visibilité d’audit le plus granulaire disponible sur le système d’exploitation. Ils répondent précisément à la question : “qui a accédé à ce fichier spécifique, quel processus a été utilisé, et quelle action a été effectuée ?” Étant donné que journaliser chaque opération sur les fichiers saturerait instantanément n’importe quel SIEM, il s’agit d’une fonctionnalité opt-in (sur demande) nécessitant une configuration chirurgicale en deux étapes impliquant la stratégie de groupe (GPO) et les listes de contrôle d’accès système (SACL). Lorsqu’elle est déployée correctement sur les “joyaux de la couronne”, elle produit les indicateurs de compromission (IOC) de la plus haute fidélité en réponse à incident.

1. Le prérequis : une configuration en deux étapes

Si un analyste recherche l’Événement 4663 sur une machine Windows standard et ne trouve rien, ce n’est pas une erreur ; c’est la configuration par défaut. Générer ces événements nécessite une mise en place délibérée en deux étapes.

1. Activer la politique d’audit globale (GPO) : les administrateurs doivent activer les politiques d’audit avancées via GPO : Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Configuration avancée de la stratégie d'audit > Accès aux objets
   • Définissez Auditer le système de fichiers sur Succès et Échec.
   • Définissez Auditer le partage de fichiers sur Succès et Échec (pour les événements 5140/5145).
2. Configurer la SACL (la frappe chirurgicale) : même avec la GPO activée, Windows ne sait pas quels fichiers sont importants. Les administrateurs doivent appliquer une System Access Control List (SACL) sur la cible spécifique (ex: C:\Secrets\mots_de_passe.txt).
   • Clic droit sur le fichier → Propriétés → Sécurité → Avancé → Audit.
   • Spécifiez le principal (ex: Tout le monde) et les types d’accès spécifiques à journaliser (ex: Lecture, Écriture, Suppression).

2. Anatomie de l’Événement 4663 (Accès au système de fichiers)

Lorsqu’un fichier surveillé par une SACL fait l’objet d’une interaction, l’Événement 4663 (Une tentative d’accès à un objet a été effectuée) est généré. L’analyse de cet enregistrement XML révèle le contexte complet de l’action.

• Sujet : l’ID de sécurité (Security ID) et le nom du compte (Account Name) de l’utilisateur effectuant l’action.
• Informations sur l’objet : le nom de l’objet (Object Name, le chemin absolu du fichier) et le type d’objet (File ou Key pour le registre).
• Informations sur le processus : le nom du processus (Process Name, ex: C:\Windows\System32\notepad.exe). C’est crucial pour corréler l’accès au fichier avec l’Événement 4688 (Création de processus) afin de comprendre la filiation parent-enfant.
• Informations sur la demande d’accès : la permission spécifique demandée, telle que ReadData (lecture du fichier) ou WriteData (modification du fichier).

3. Accès aux partages réseau (Événements 5140 et 5145)

Lorsque les adversaires se déplacent latéralement ou exfiltrent des données, ils accèdent fréquemment aux partages de fichiers administratifs ou d’entreprise via le réseau.

Événement 5140

Un objet de partage réseau a été accédé. Cela journalise la connexion initiale à la racine du partage (ex: \\SERVER\SYSVOL). Il fournit l’adresse source (Source Address, l’IP de l’attaquant), ce qui en fait un excellent point de pivot pour le traçage réseau.

Événement 5145

Un objet de partage réseau a été vérifié pour voir si le client peut obtenir l’accès souhaité. Ceci est très granulaire. Il journalise l’accès à des fichiers spécifiques à l’intérieur du partage. Notamment, il enregistre le nom cible relatif (Relative Target Name). Comme détaillé dans l’articles sur les Tubes nommés (Named Pipes), si le partage accédé est IPC$, cet événement consigne le nom exact du tube nommé auquel l’attaquant se connecte.

4. Scénarios d’investigation DFIR

Déployer des SACL partout est une erreur opérationnelle catastrophique (surcharge du SIEM). Les équipes DFIR utilisent l’audit d’accès aux objets de manière stratégique.

A. Le jeton de leurre (Honeytokens)

L’utilisation la plus élégante de l’Événement 4663 est la tromperie. Créez un faux fichier hautement attrayant (ex: C:\Users\Administrateur\Desktop\Q4_MotsDePasse_Financiers.docx) et appliquez une SACL surveillant ReadData par Tout le monde. Puisqu’aucun utilisateur légitime ne devrait jamais ouvrir ce fichier leurre, tout Événement 4663 le ciblant est une alerte d’intrusion confirmée à 100 % avec zéro faux positif.

B. Protéger les joyaux de la couronne (Vol d’identifiants)

Sur un contrôleur de domaine, la base de données Active Directory (ntds.dit) est la cible ultime. En appliquant une SACL à ce fichier, les analystes peuvent surveiller l’extraction d’identifiants. Si l’Événement 4663 montre un processus autre que le processus légitime lsass.exe tentant de lire ntds.dit, un attaquant exécute une attaque DCSync ou une extraction locale.

C. Détection comportementale de Ransomware

Lors d’une Investigation de Ransomware, l’Événement 4663 fournit une signature comportementale distincte. Un seul compte utilisateur (via un seul processus comme cmd.exe ou un binaire personnalisé) générant des milliers de journaux 4663 avec des droits d’accès WriteData et DELETE en quelques secondes est la signature indéniable d’une routine de chiffrement de masse.

5. Requêtes de Threat Hunting

Déployez ces requêtes pour chasser les modèles d’accès à haut risque dans votre SIEM.

KQL (Comportement Ransomware)

hunt_mass_file_modification.kql

// Détecte un comportement potentiel de ransomware en identifiant des modifications de fichiers excessives (Événement 4663)
// par un seul processus dans une courte fenêtre de temps.
SecurityEvent
| where EventID == 4663
| where AccessList has "%%4417" // %%4417 se traduit par WriteData
// Regrouper les événements par Processus, Compte, et une fenêtre de temps d'1 minute
| summarize ModifiedFiles = dcount(ObjectName), FileList = make_set(ObjectName) by bin(TimeGenerated, 1m), Computer, Account, ProcessName
// Seuil : Plus de 100 fichiers distincts modifiés en 1 minute
| where ModifiedFiles > 100
| project TimeGenerated, Computer, Account, ProcessName, ModifiedFiles
| sort by TimeGenerated desc

Splunk (Accès à ntds.dit)

hunt_ntds_unauthorized_read.spl

# Détecte l'accès non autorisé à la base de données Active Directory
index=windows sourcetype="WinEventLog:Security" EventCode=4663
| search Object_Name="*\\ntds.dit"
# Exclure le processus système légitime
| search NOT Process_Name="*\\lsass.exe"
| table _time, host, Account_Name, Process_Name, Accesses

---

Références et lectures complémentaires

• Microsoft Security : Audit Object Access
• Artefact lié : Événement 4688 et filiation des processus
• Artefact lié : La filiation parent-enfant
• Artefact lié : Tubes nommés et mouvement latéral SMB
• Playbook lié : Playbook d’investigation de Ransomware