Aller au contenu
Hermes Codex

Playbook de Réponse aux Incidents : Chasse à la Persistance (Threat Hunting)

1. Le cycle de la chasse (The Hunting Loop)

Section intitulée « 1. Le cycle de la chasse (The Hunting Loop) »

Une opération de chasse aux menaces n’est jamais aléatoire ; elle suit une méthodologie rigoureuse et itérative.

  1. Formulation de l’hypothèse : définir une supposition spécifique basée sur la Threat Intelligence (CTI), les TTPs (Tactiques, Techniques et Procédures) connues des adversaires, ou une intuition liée à l’environnement.
  2. Collecte des données : identifier et rassembler les sources de journaux nécessaires pour tester l’hypothèse (ex: Sysmon, journaux d’événements Windows, télémétrie EDR).
  3. Analyse et triage : exécuter des requêtes pour filtrer le bruit, agréger les données (stacking) afin de faire ressortir les valeurs aberrantes, et isoler les comportements suspects.
  4. Validation et réponse : si l’hypothèse est validée, basculer immédiatement de la chasse vers la réponse à incident. Si elle est invalidée, utiliser les découvertes pour affiner les futures hypothèses et améliorer les règles de détection automatisées du SIEM.

2. Terrains de chasse : formulation des hypothèses

Section intitulée « 2. Terrains de chasse : formulation des hypothèses »

Les sections suivantes présentent des hypothèses structurées ciblant les mécanismes de persistance Windows les plus fréquemment utilisés par les menaces persistantes avancées (APT) et les opérateurs de ransomwares.

Hypothèse 1 : clés de registre (Run Keys) et dossiers de démarrage

Section intitulée « Hypothèse 1 : clés de registre (Run Keys) et dossiers de démarrage »

MITRE ATT&CK : T1547.001 - Boot or Logon Autostart Execution

Les acteurs de la menace manipulent fréquemment les clés de registre pour s’assurer que leurs charges utiles s’exécutent automatiquement lors de l’ouverture de session ou du démarrage du système.

  • Forensique à chaud (Live) : l’utilitaire Autoruns de Sysinternals reste la référence absolue pour le triage en direct des terminaux.
  • Chasse dans la télémétrie : les analystes doivent interroger l’Événement Sysmon 13 (RegistryValue Set) en se concentrant sur les chemins tels que \CurrentVersion\Run, \RunOnce et \Windows\Load.
  • Anomalies : filtrer les binaires connus et signés cryptographiquement. La présence de powershell.exe, wscript.exe ou d’un binaire non signé s’exécutant depuis le répertoire AppData d’un utilisateur via une clé “Run” est extrêmement suspecte.

Hypothèse 2 : services Windows malveillants

Section intitulée « Hypothèse 2 : services Windows malveillants »

MITRE ATT&CK : T1543.003 - Create or Modify System Process: Windows Service

Créer un service masqué permet à un attaquant de maintenir des privilèges de niveau SYSTEM à travers les redémarrages. C’est le principal mécanisme de persistance utilisé par des outils commePsExec.

  • Source de logs : surveiller le journal System pour l’Événement 7045 (“A service was installed in the system”).
  • Anomalies : scruter le champ Service File Name (le chemin de l’exécutable). Un service pointant vers des répertoires inscriptibles par tous comme C:\Users\Public\, C:\PerfLogs\ ou C:\Windows\Temp\ justifie une isolation immédiate. De plus, traquer le typosquatting dans les noms de services (ex: MicrosoftUpdaterService au lieu de MicrosoftUpdateService).

Hypothèse 3 : tâches planifiées illégitimes

Section intitulée « Hypothèse 3 : tâches planifiées illégitimes »

MITRE ATT&CK : T1053.005 - Scheduled Task/Job: Scheduled Task

Les tâches planifiées permettent aux adversaires d’exécuter des charges utiles à des heures précises, lors d’événements spécifiques, ou sous des contextes hautement privilégiés sans nécessiter de session utilisateur active.

  • Source de logs : surveiller le journal Security pour l’Événement 4698 (“A scheduled task was created”).
  • Anomalies : analyser la ligne de commande spécifique intégrée dans l’action de la tâche. Les tâches invoquant des binaires natifs détournés (LOLBAS) ou exécutant des scripts depuis des emplacements inhabituels doivent être triées.

Hypothèse 4 : persistance furtive via WMI

Section intitulée « Hypothèse 4 : persistance furtive via WMI »

MITRE ATT&CK : T1546.003 - Event Triggered Execution: WMI Event Subscription

Les abonnements aux événements WMI (Windows Management Instrumentation) représentent un mécanisme de persistance “sans fichier” (fileless) extrêmement furtif. Cela nécessite la création d’un “Trio WMI” : un filtre d’événement, un consommateur d’événement, et une liaison (FilterToConsumerBinding).

  • Source de logs : c’est le terrain de chasse de prédilection de Sysmon. Les analystes doivent rechercher les Événements Sysmon 19, 20 et 21. La simple présence de ces événements dans un environnement de travail standard est une anomalie qui exige une investigation immédiate.

3. Requêtes de Threat Hunting

Section intitulée « 3. Requêtes de Threat Hunting »

Exploitez les requêtes suivantes dans votre SIEM pour automatiser l’agrégation initiale des données correspondant aux hypothèses mentionnées ci-dessus.

hunt_malicious_services.spl
# Recherche de services nouvellement installés s'exécutant depuis des répertoires suspects
index=windows sourcetype="WinEventLog:System" EventCode=7045
| eval ImagePath=lower(ImagePath)
| search ImagePath="*\\users\\public\\*" OR ImagePath="*\\perflogs\\*" OR ImagePath="*\\temp\\*" OR ImagePath="*\\appdata\\local\\*"
| table _time, host, ServiceName, ServiceType, ImagePath
| sort - _time

Références et lectures complémentaires

Section intitulée « Références et lectures complémentaires »