Playbook de Réponse aux Incidents : exfiltration par une menace interne

1. Contextualisation et préparation

Une enquête sur un vol de données interne ne doit jamais commencer sans avoir établi un contexte juridique et humain strict. Les analystes DFIR doivent aligner leurs découvertes techniques avec la chronologie des Ressources Humaines (RH).

Clarifier le mandat : établir un canal de communication strict avec les départements Juridique et RH pour s’assurer que la collecte de preuves respecte le droit du travail local.
Établir la chronologie Humaine : identifier l’événement déclencheur (démission, licenciement, mauvaise évaluation). L’activité réseau et système dans les 30 jours précédant et suivant cet événement est critique.
Cartographier les données cibles : identifier les “joyaux de la couronne” auxquels l’employé avait accès (code source, bases clients, propriété intellectuelle) et cartographier les chemins logiques vers ces données.

2. Investigation de la préparation des données (Staging)

Avant l’exfiltration, les acteurs internes regroupent, compressent et chiffrent souvent de grands volumes de données. Cette phase est connue sous le nom de “Staging”.

Création d’archives et copie en masse

Pour déplacer les données efficacement, les attaquants s’appuient sur des utilitaires de compression et des commandes de copie natives de Windows.

Artefacts d’exécution : analysez les Fichiers Prefetch (.pf) et l’Amcache pour trouver des preuves d’outils comme 7z.exe, winrar.exe, ou powershell.exe (spécifiquement la commande Compress-Archive).
Suivi des processus : interrogez l’Événement 4688 (Création de processus) du journal Windows ou l’Événement 1 de Sysmon pour extraire les lignes de commande exactes utilisées lors de la compression.
Analyse du système de Fichiers : analysez la Master File Table (MFT) pour identifier la création de fichiers .zip, .rar, ou .tar.gz, en prêtant une attention particulière aux répertoires temporaires (%TEMP%) et aux profils utilisateurs (AppData).

3. Investigation des vecteurs d’exfiltration

C’est le cœur de l’enquête : déterminer exactement comment les données préparées ont quitté le périmètre de l’entreprise.

A. Périphériques physiques (exfiltration USB)

L’extraction physique reste un vecteur principal pour le vol de données interne.

Journaux d’événements : analysez Microsoft-Windows-DriverFrameworks-UserMode/Operational. Les Événements 2003, 2100 et 2102 tracent la connexion et l’installation de périphériques externes.
SetupAPI Log : analysez le fichier C:\Windows\INF\setupapi.dev.log, qui contient un historique extrêmement détaillé de tous les périphériques connectés au système.
Artefacts du Registre : la clé de registre SYSTEM\CurrentControlSet\Enum\USBSTOR est une mine d’or. Elle contient le Nom du Produit, le Fabricant et le Numéro de Série Unique de chaque périphérique de stockage USB connecté au poste.

B. Transferts Cloud et Web

L’essor du Shadow IT exige une analyse méticuleuse des terminaux et du réseau.

Services de stockage cloud

Vérifiez l’historique du navigateur (bases SQLite) et les artefacts d’exécution pour des outils comme Dropbox.exe ou OneDrive.exe. Analysez le SRUM (System Resource Usage Monitor) pour identifier les processus responsables d’un trafic réseau sortant important.

Télémétrie Réseau

Examinez les journaux Proxy et Pare-feu (Firewall) à la recherche de téléversements massifs (high byte-out) vers des domaines tels que WeTransfer, pCloud, Mega ou SendAnywhere.

C. E-mail Personnel et FTP

Passerelles de Messagerie : interrogez la passerelle mail (ou utilisez Message Trace dans M365) pour les e-mails envoyés par l’employé vers des domaines publics (gmail.com, yahoo.com) contenant des pièces jointes inhabituellement volumineuses ou protégées par mot de passe.
FTP/SCP : analysez les journaux du pare-feu pour des connexions sortantes non autorisées sur les ports 21 (FTP), 22 (SFTP/SCP), ou 990 (FTPS). Corrélez avec l’exécution d’outils comme FileZilla ou WinSCP.

D. Impression et captures d’écran

Les données peuvent être exfiltrées physiquement via des imprimantes ou des captures d’écran.

Journaux du spooler d’impression : le journal Microsoft-Windows-PrintService/Operational enregistre les documents imprimés. Les Événements 307, 310 et 805 suivent le nom du document, l’utilisateur et le nombre de pages.
Captures d’écran : cherchez sur le système de fichiers une création soudaine et massive d’images dans le répertoire Pictures, et vérifiez l’exécution d’outils de capture (Snagit, Greenshot).

4. Corrélation et anti-forensique

L’étape finale consiste à fusionner toutes les découvertes dans une chronologie globale (Master Timeline) et à vérifier les techniques d’évasion intentionnelles.

Construire la chronologie : superposez les événements techniques (connexions USB, création d’archives) avec la chronologie des RH.
Détecter la Reconnaissance : analysez les Shellbags pour prouver que l’utilisateur a intentionnellement navigué vers des répertoires restreints contenant des données sensibles avant l’événement d’exfiltration.
Traquer l’anti-forensique :
- Vérifiez le journal Security pour l’Événement 1102 (“The audit log was cleared” / Journal d’audit effacé), qui est un indicateur formel de dissimulation intentionnelle.
- Recherchez l’exécution d’outils de suppression sécurisée (ex: SDelete, CCleaner).

5. Conclusion

L’investigation des menaces internes nécessite un équilibre délicat entre une analyse technique approfondie et une compréhension du contexte humain. En suivant systématiquement le cycle de vie de la donnée, du “staging” à la sortie, les analystes DFIR peuvent construire une chronologie irréfutable de l’exfiltration non autorisée.

Références

-MITRE ATT&CK: Exfiltration Over Alternative Protocol (T1048)

Insider Threat Matrix: Print Spooler Detections (DT007)