Protection 🕷️ Détecter les mouvements latéraux sur le réseau pour bloquer la propagation

[Sylvain*]

Détecter les mouvements latéraux sur le réseau avec des outils natifs

Introduction

Les mouvements latéraux désignent les techniques utilisées par un attaquant pour se déplacer d’un système à un autre après une compromission initiale. Détecter ces déplacements est essentiel pour stopper une attaque en cours et limiter sa propagation. Cette procédure exploite des outils Windows et réseaux pour identifier ces comportements.

---

Prérequis

• Système Windows intégré à un domaine

• Accès aux journaux de sécurité et d’audit

• Outils comme PowerShell, Sysmon et Observateur d’événements

---

Procédure

• Étape #1 : Activer la journalisation des connexions à distance

• Étape #2 : Déployer Sysmon pour enrichir l’audit des mouvements

• Étape #3 : Identifier les connexions RDP et SMB entre postes

• Étape #4 : Corréler les accès anormaux dans les journaux

• Étape #5 : Mettre en place des alertes en cas de comportement suspect

---

Niveau de difficulté

• Étape #1 : Moyen

• Étape #2 : Difficile

• Étape #3 : Moyen

• Étape #4 : Difficile

• Étape #5 : Difficile

---

Les Avantages

• Étape #1 : Active la détection sur les postes cibles

• Étape #2 : Fournit une visibilité très détaillée

• Étape #3 : Permet d’identifier des canaux de propagation

• Étape #4 : Met en évidence les pivots et comptes compromis

• Étape #5 : Renforce la capacité de réaction rapide

---

Les Inconvénients

• Étape #1 : Nécessite un paramétrage GPO ou local

• Étape #2 : Demande un déploiement et une configuration fine

• Étape #3 : Génère de nombreux événements

• Étape #4 : Lecture des journaux fastidieuse

• Étape #5 : Alertes utiles seulement si bien calibrées

---

Étape #1

Ouvrir

gpedit.msc

Naviguer vers Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Stratégie d’audit

Activer Audit des connexions réussies/échouées

Appliquer la GPO aux postes critiques

---

Étape #2

Télécharger et installer Sysmon via

Sysinternals

Appliquer un fichier de configuration type SwiftOnSecurity

Vérifier que les événements

3

10

et

11

sont activés

Tester la remontée des événements dans Observateur d’événements > Applications et services > Microsoft > Sysmon

---

Étape #3

Lister les connexions RDP

Get-WinEvent -LogName Security | ? {$.Id -eq 4624 -and $.Properties[8].Value -eq "10"}

Lister les connexions SMB

Get-SmbSession

Rechercher les IP d’origine inhabituelles

Identifier les comptes utilisés sur plusieurs hôtes

---

Étape #4

Utiliser

Event Viewer

pour rechercher les ID

4624

4648

4672

4776

Corréler l’heure et la machine d’origine

Identifier les séquences d’authentification suspectes

Exporter les événements pour analyse croisée

---

Étape #5

Créer des tâches planifiées de scan avec PowerShell

Définir des alertes sur seuils d’authentification multiples

Intégrer à un SIEM pour détection corrélée

Documenter tous les mouvements latéraux détectés pour remédiation

---

Astuce

Utilisez

LogParser

ou

Kusto Query Language

pour analyser de gros volumes de journaux d’authentification.

---

Mise en garde

Un comportement légitime peut ressembler à un mouvement latéral. Croisez les logs avec des informations contextuelles avant toute action.

---

Conseil

Surveillez les connexions RDP et les sessions d’administration à distance sur des horaires inhabituels à l’aide de

Get-WinEvent

---

Solutions alternatives

• Détection mouvement latéral Windows

• Sysmon mouvement latéral analyse

• PowerShell detection RDP latéral

---

Références utiles

• Support Microsoft

• Microsoft Learn

• Recherche GitHub

---

Conclusion
La détection des mouvements latéraux est cruciale pour briser la chaîne d’attaque après compromission initiale. Combinée à une journalisation renforcée, elle permet de remonter à l’origine d’un incident et d’agir avant qu’un attaquant n’atteigne ses objectifs finaux.