Playbook de Réponse aux Incidents : Mouvement Latéral (SMB vs RDP)

Note

Résumé exécutif : le mouvement latéral est la manœuvre qu’un adversaire effectue pour naviguer dans un environnement après avoir obtenu un accès initial. Dans les environnements Windows, les attaquants choisissent principalement entre deux modes opérationnels distincts : le “Ninja” (SMB) et le “Tank” (RDP). Pour un analyste DFIR, distinguer ces deux modes est critique pour la reconstruction de la chronologie. L’abus de SMB est scriptable, silencieux et rapide, tandis que l’abus de RDP est interactif, visuel et invasif.

1. SMB : le “Ninja” (discret et scriptable)

Lorsqu’un attaquant utilise SMB pour se déplacer latéralement, il agit comme un script. Aucune interaction graphique n’est requise, ni souris, ni bureau. Il opère en ligne de commande, souvent de manière scriptée et rapide.

• L’expérience visuelle de l’attaquant : l’opérateur est devant un terminal (cmd ou PowerShell) sur sa machine pivot. Il ne voit rien de la machine cible en dehors du texte retourné.
• L’utilisation de l’explorateur : rare. Ouvrir l’explorateur graphique laisse des traces persistantes (les Shellbags) sur sa machine pivot, et cette méthode est trop lente. L’attaquant préfère la commande net use pour monter un lecteur réseau temporaire, copier son fichier, et démonter le lecteur immédiatement.
• Pourquoi choisir SMB ?
  • Discrétion visuelle : l’utilisateur connecté sur la machine cible ne voit rien. Pas de fenêtre ouverte, pas de mouvement de souris.
  • Vitesse et volume : il est possible de copier un fichier sur 1000 machines en 5 minutes via SMB. C’est impossible en RDP.
  • Exécution à distance : via des outils comme PsExec, l’attaquant utilise SMB (port 445) non seulement pour déposer le fichier, mais pour ordonner à la machine cible : “exécute ce fichier maintenant”.
• Signature dans les journaux : Événement ID 4624 de type Logon Type 3 (Réseau).

2. RDP : le “Tank” (interactif et visible)

Lorsqu’un attaquant utilise le RDP, il prend possession de la machine. Il veut voir le bureau, cliquer sur les icônes, lancer des programmes graphiques.

• L’expérience visuelle de l’attaquant : une fenêtre s’ouvre sur son écran. Il voit le bureau de la victime (ou du serveur). Il a un contrôle total de la souris et du clavier.
• Pourquoi choisir RDP ?
  • Besoin d’interactivité : certains logiciels métier ou outils d’attaque complexes ne fonctionnent pas bien en ligne de commande.
  • Persistance “légitime” : se connecter en RDP ressemble à une administration normale.
  • Si SMB est bloqué : parfois, les EDR bloquent PsExec, mais laissent passer le RDP.
• Le risque pour l’attaquant : c’est bruyant. Sur un poste de travail (Windows 10/11), une connexion RDP déconnecte l’utilisateur légitime (ou lui demande une autorisation). L’utilisateur sait immédiatement qu’il se passe quelque chose. Sur un serveur (Windows Server), deux sessions simultanées sont possibles, ce qui est plus discret.
• Signature dans les journaux : Événement ID 4624 de type Logon Type 10 (RemoteInteractive).

3. Matrice de décision de l’attaquant

Situation	Choix de l’attaquant	Raison
Reconnaissance	SMB	plus rapide, moins de traces.
Dépôt de malware	SMB	copie de fichier simple et rapide.
Exécution de commande rapide	SMB	via PsExec ou WMI. Pas besoin d’interface.
Vol de données (Exfiltration)	SMB	copie silencieuse des dossiers vers la machine de l’attaquant.
Installation de backdoor complexe	RDP	besoin de cliquer sur “Suivant”, configurer des options GUI.
Désactivation manuelle de l’Antivirus	RDP	souvent protégé contre les scripts, mais accessible via GUI.
Lancement du Ransomware	RDP ou SMB	RDP pour vérifier visuellement que le chiffrement fonctionne. SMB (via GPO/PsExec) pour chiffrer tout le parc en une fois.

4. La chaîne combinée (scénario fréquent)

L’attaquant utilise souvent les deux protocoles en séquence.

1. L’approche (SMB) : l’attaquant dispose d’identifiants volés. Il teste l’accès via SMB (net use \\Cible\C$). Si cela fonctionne, il sait qu’il est administrateur.
2. La préparation (SMB) : il active le RDP sur la machine cible s’il n’est pas actif (via une modification de registre à distance).
3. L’invasion (RDP) : une fois le terrain préparé, il se connecte en RDP pour “habiter” le serveur, fouiller les fichiers et préparer son attaque finale.

Conseil pour l’analyste : si une connexion RDP (Type 10) est observée, recherchez toujours les connexions SMB (Type 3) provenant de la même adresse IP source dans les minutes ou les heures précédentes. C’était la phase de préparation.

Figure 1 : SMB vs RDP

---

Références et lectures complémentaires

• MITRE ATT&CK : Remote Services: SMB/Windows Admin Shares (T1021.002)
• Artefact lié : Événements de connexion Windows (4624/4625)
• Artefact lié : PsExec et traces de mouvement latéral