Analyse CTI : Chasse à l'Accès Initial et à l'Exécution (T1566, T1059, T1047)

Danger

Résumé exécutif : dans le framework MITRE ATT&CK, l’Accès Initial (TA0001) et l’Exécution (TA0002) sont inextricablement liés. Un adversaire peut percer le périmètre via un e-mail de phishing, mais cet accès est inutile tant qu’il n’a pas exécuté sa charge utile sur le terminal. Pour les centres opérationnels de sécurité (SOC), attraper une intrusion durant ces deux phases est le but ultime — cela neutralise la menace avant que la persistance ne soit établie ou que les données ne soient exfiltrées. Ce guide cartographie les techniques d’accès initial et d’exécution les plus courantes vers des artefacts forensiques exploitables, offrant aux analystes DFIR un plan d’action concret pour la chasse aux menaces (Threat Hunting) de premier stade.

1. L’intersection de l’accès et de l’exécution

La chasse aux menaces au niveau du périmètre nécessite de déplacer l’attention de la télémétrie Réseau vers la télémétrie des Terminaux (Endpoints). Bien qu’une passerelle de messagerie sécurisée (SEG) ou un pare-feu d’application web (WAF) puisse rater un vecteur d’accès initial inédit, la phase d’exécution qui en résulte laissera toujours des traces comportementales indélébiles sur le système d’exploitation hôte.

En opérationnalisant les sources de données ATT&CK — spécifiquement Process: Process Creation et Command: Command Execution — les défenseurs peuvent intercepter le passage de relais entre TA0001 et TA0002.

2. Chasser T1566 : phishing (Accès Initial)

Le phishing reste le roi incontesté de l’accès initial. Bien que l’analyse des en-têtes d’e-mails et des mécanismes de livraison soit couverte dans notre Playbook d’analyse d’email suspect, les Threat Hunters doivent se concentrer sur ce qui se passe après que l’utilisateur a cliqué sur le lien malveillant ou ouvert la pièce jointe.

1. Le clic (T1566.002 - Spearphishing Link) : l’utilisateur clique sur un lien, générant un processus de navigateur (ex: chrome.exe, msedge.exe).
2. Le téléchargement : une charge utile est téléchargée dans C:\Users\<User>\Downloads\.
3. La détonation (T1204.002 - Malicious File) : l’utilisateur double-clique sur le fichier.
4. La télémétrie : l’OS génère un Événement de création de processus (ID 4688) où explorer.exe génère la charge utile malveillante.

Le pivot DFIR : filiation des processus (Process Lineage)

L’indicateur de compromission (IOC) de la plus haute fidélité pour les pièces jointes de phishing compromises (comme les documents Word avec macros) est la filiation anormale des processus. Si winword.exe, excel.exe ou AcroRd32.exe génère un interpréteur de commandes (cmd.exe, powershell.exe) ou un moteur de script (wscript.exe), il est presque certain qu’une charge utile d’accès initial a réussi sa transition vers la phase d’exécution.

3. Chasser T1059 : interpréteur de commandes et de scripts (Exécution)

Une fois à l’intérieur, les adversaires déposent rarement des fichiers .exe personnalisés et compilés dans l’immédiat. À la place, ils s’appuient sur les utilitaires natifs du système d’exploitation — les Living Off The Land Binaries and Scripts (LOLBAS) — pour relayer leur exécution.

T1059.001 - PowerShell

PowerShell offre un accès sans précédent à l’API Windows et au framework .NET. Les adversaires l’utilisent pour télécharger des charges utiles de seconde phase, injecter des DLL de manière réflective en mémoire et exécuter des malwares “fileless”. Focus de chasse : surveillez l’Événement 4688 ou l’Événement Sysmon 1 pour repérer les arguments conçus pour échapper aux défenses, tels que -ExecutionPolicy Bypass (-ep bypass), -WindowStyle Hidden (-w hidden), et -EncodedCommand (-enc).

T1059.003 - Shell de commande Windows

L’ancien cmd.exe reste massivement exploité pour l’exécution de scripts batch et l’enchaînement de commandes de reconnaissance. Focus de chasse : recherchez des exécutions séquentielles et rapides de commandes de découverte (whoami, net user, ipconfig) ou l’utilisation de caractères d’enchaînement de commandes (&&, &, |) pour exécuter plusieurs charges utiles sur une seule ligne.

4. Chasser T1047 : Windows Management Instrumentation

Windows Management Instrumentation (WMI) est l’implémentation par Microsoft du Web-Based Enterprise Management (WBEM). Les attaquants abusent de WMI à la fois pour l’exécution locale et pour des mouvements latéraux extrêmement furtifs.

Le mécanisme d’exécution

Des outils comme wmiexec.py d’Impacket ou les cmdlets PowerShell natives (Invoke-WmiMethod) permettent à un adversaire de générer des processus sur des systèmes locaux ou distants. Lorsque l’exécution est déclenchée via WMI, elle contourne les relations parent-enfant standards.

• La signature forensique : comme détaillé dans notre analyse approfondie sur la forensique WMI, tout processus exécuté via WMI est généré par l’hôte du fournisseur WMI (WmiPrvSE.exe).
• Stratégie de chasse : un Threat Hunter observant WmiPrvSE.exe générer cmd.exe, qui exécute ensuite une chaîne PowerShell encodée en Base64, vient d’identifier une exécution T1047 critique et de haute certitude.

5. Ingénierie de détection (Requêtes actionnables)

Pour traduire ces techniques ATT&CK en alertes SIEM opérationnelles, utilisez les requêtes suivantes qui se concentrent sur l’intersection entre l’accès initial et l’exécution.

KQL (Office générant des shells)

hunt_t1566_t1059_office_shells.kql

// Mitre ATT&CK : T1566 (Phishing) -> T1059 (Interpréteur de commandes et de scripts)
// Détecte les applications Microsoft Office générant des shells ou des moteurs de scripts suspects.
DeviceProcessEvents
| where InitiatingProcessFileName in~ ("winword.exe", "excel.exe", "powerpnt.exe", "msaccess.exe", "mspub.exe")
| where FileName in~ ("cmd.exe", "powershell.exe", "pwsh.exe", "wscript.exe", "cscript.exe", "mshta.exe", "rundll32.exe")
| project TimeGenerated, DeviceName, InitiatingProcessAccountName, InitiatingProcessFileName, FileName, ProcessCommandLine
| sort by TimeGenerated desc

Sigma (Exécution WMI suspecte)

sigma_t1047_wmi_execution.yaml

title: Processus Suspect Généré par WMI (T1047)
id: 1a2b3c4d-5e6f-7a8b-9c0d-1e2f3a4b5c6d
status: stable
description: Détecte Windows Management Instrumentation (WmiPrvSE.exe) générant des shells de commande, ce qui indique une exécution à distance via des outils comme wmiexec.py ou un mouvement latéral WMI.
logsource:
    category: process_creation
    product: windows
detection:
    selection:
        ParentImage|endswith: '\WmiPrvSE.exe'
        Image|endswith:
            - '\cmd.exe'
            - '\powershell.exe'
            - '\pwsh.exe'
    # Optionnel : Exclure les scripts de gestion IT bénins connus
    filter_legit:
        CommandLine|contains: 'ccmsetup'
    condition: selection and not filter_legit
level: high
tags:
    - attack.execution
    - attack.t1047

6. Conclusion

En considérant l’accès initial et l’exécution comme une séquence interconnectée plutôt que comme des événements isolés, les défenseurs peuvent réduire considérablement la fatigue liée aux alertes. Un utilisateur lançant powershell.exe est chose courante ; un client de messagerie lançant un traitement de texte qui, par la suite, lance powershell.exe pour décoder une chaîne Base64 est une intrusion avérée.

Maîtriser les méthodologies de chasse pour T1566, T1059 et T1047 garantit que les équipes DFIR peuvent neutraliser les adversaires avant qu’ils n’aient l’opportunité d’établir une persistance ou de se déplacer latéralement sur le domaine.

---

Sources et références

• MITRE ATT&CK : Phishing (T1566)
• MITRE ATT&CK : Command and Scripting Interpreter (T1059)
• MITRE ATT&CK : Windows Management Instrumentation (T1047)
• Playbook lié : Playbook d’analyse d’email suspect
• Artefact lié : Événement 4688 et Filiation des processus
• Artefact lié : Télémétrie WMI et Persistance Fileless