Les solutions antivirus traditionnelles se concentrent sur ce qui s’exécute (en s’appuyant sur des hashs de fichiers, des signatures et des heuristiques statiques). Les acteurs de la menace avancés contournent aisément ces défenses en utilisant des binaires Living Off The Land (LOLBAS) — des outils natifs et signés par Microsoft comme powershell.exe, certutil.exe ou cmd.exe.
L’analyse de la filiation des processus change ce paradigme. Au lieu de se demander “ce binaire est-il malveillant ?”, les analystes DFIR se demandent : “qui est le parent de ce binaire, et cette relation est-elle logique ?”
Les programmes légitimes suivent des chemins d’exécution prévisibles. Lorsqu’un adversaire établit un point d’ancrage, il enfreint inévitablement ces règles logiques, laissant une signature comportementale flagrante.
Pour identifier une activité malveillante, les analystes doivent d’abord établir une ligne de base (baseline) du comportement normal du système d’exploitation.
Lorsqu’un utilisateur standard interagit avec l’interface graphique de Windows pour ouvrir l’invite de commandes, la filiation reflète l’interaction humaine avec le shell de l’OS :
explorer.exe → cmd.exe
De même, les services en arrière-plan suivent des hiérarchies strictes :
services.exe → svchost.exe
Considérons un vecteur d’accès initial classique : un utilisateur reçoit un document Word piégé par email, l’ouvre et active les macros. La macro télécharge et exécute silencieusement un shell inversé (reverse shell).
L’arborescence des processus résultante expose l’attaque instantanément, formant une seule et même chaîne d’exécution continue :
explorer.exe (Le shell du bureau de l'utilisateur)└── outlook.exe (L'utilisateur ouvre sa messagerie) └── winword.exe (Word ouvre la pièce jointe) └── powershell.exe (🚨 ALERTE ROUGE : La macro malveillante exécute un script) └── cmd.exe (🚨 ALERTE ROUGE : Le script ouvre un shell de commande) └── whoami.exe (L'attaquant exécute une commande de reconnaissance)L’analyse DFIR : whoami.exe, cmd.exe, powershell.exe et winword.exe sont tous des binaires Microsoft légitimes à 100 %, signés numériquement. Cependant, un logiciel de traitement de texte n’a absolument aucune raison métier légitime de générer PowerShell ou un interpréteur de commandes. Cette relation parent-enfant anormale est la preuve irréfutable d’une exécution de code via une macro ou une vulnérabilité logicielle.
Les adversaires renomment fréquemment leurs charges utiles malveillantes pour se fondre dans l’activité normale du système (ex: renommer une porte dérobée en svchost.exe).
L’analyse de la filiation des processus met en échec cette technique d’évasion de manière instantanée. Un binaire svchost.exe légitime est exclusivement généré par services.exe. Si un analyste observe un exécutable nommé svchost.exe être généré par winword.exe, chrome.exe ou explorer.exe, il est garanti qu’il s’agit d’un malware, quel que soit son nom.
Pour reconstituer historiquement une arborescence de processus, les organisations ont besoin d’une télémétrie granulaire sur les terminaux.
L'Événement Windows 4688
Le journal de sécurité Windows natif pour la Création de Processus. Il contient le New Process ID et le Creator Process ID (le parent). En chaînant ces PID chronologiquement, les analystes peuvent reconstruire manuellement l’arborescence complète. Note : l’audit de la ligne de commande doit être activé via GPO pour que cela soit efficace.
L'Événement Sysmon 1
Sysmon améliore considérablement la journalisation native en introduisant les champs ProcessGuid et ParentProcessGuid. Ces identifiants globalement uniques permettent une reconstruction sans faille de l’arborescence, même à travers les redémarrages et le recyclage des PID.
Endpoint Detection and Response (EDR)
Les solutions EDR modernes ingèrent automatiquement cette télémétrie et cartographient graphiquement l’arborescence des processus. Cette visualisation est le composant central du Playbook de Triage des Alertes EDR, permettant aux analystes de comprendre l’ensemble de la chaîne d’attaque en quelques secondes.
Déployez les règles comportementales suivantes pour chasser de manière proactive les filiations de processus anormales dans votre environnement.
// Détecte les applications Microsoft Office générant des interpréteurs de commandes ou des moteurs de scriptDeviceProcessEvents// Définir les processus parents suspects| where InitiatingProcessFileName in~ ("winword.exe", "excel.exe", "powerpnt.exe", "msaccess.exe", "mspub.exe")// Définir les processus enfants suspects| where FileName in~ ("cmd.exe", "powershell.exe", "pwsh.exe", "wscript.exe", "cscript.exe", "mshta.exe", "rundll32.exe", "regsvr32.exe")| project TimeGenerated, DeviceName, InitiatingProcessAccountName, InitiatingProcessFileName, FileName, CommandLine| sort by TimeGenerated desctitle: Shell suspect généré par un serveur webid: 3a4b5c6d-7e8f-9a0b-1c2d-3e4f5a6b7c8dstatus: stabledescription: Détecte les processus démons de serveur web générant des shells en ligne de commande, indiquant une potentielle exécution de web shell ou une exploitation RCE.logsource: category: process_creation product: windowsdetection: selection: ParentImage|endswith: - '\w3wp.exe' # IIS - '\httpd.exe' # Apache - '\nginx.exe' - '\tomcat.exe' - '\php-cgi.exe' Image|endswith: - '\cmd.exe' - '\powershell.exe' - '\pwsh.exe' - '\whoami.exe' condition: selectionlevel: criticaltags: - attack.execution - attack.persistence - attack.t1505.003Maîtriser l’analyse de la filiation des processus est ce qui permet à un professionnel de la sécurité de ne plus se reposer uniquement sur des signatures statiques, pour mener une véritable chasse aux menaces (Threat Hunting) comportementale. En se posant constamment la question “qui est ton parent ?”, les analystes peuvent découvrir les intrusions les plus sophistiquées, rendant obsolètes les techniques d’évasion traditionnelles.