Détection du chiffrement malveillant des données exfiltrées
IntroductionLes attaquants utilisent fréquemment le chiffrement pour masquer les données volées avant leur exfiltration. Cette technique d’évasion rend leur contenu illisible aux systèmes de détection et aux analystes en sécurité. Ce tutoriel présente des méthodes efficaces pour identifier les signes de chiffrement malveillant, bloquer les outils utilisés, et renforcer la détection comportementale sous Windows 10/11.
Prérequis• Connaissance des concepts de chiffrement symétrique/asymétrique
• Familiarité avec les outils de surveillance réseau et disque
• Accès à PowerShell, Événements Windows et Group Policy Editor
• Droits administrateur requis
Niveau de difficulté• Étape #1 : Identifier les utilitaires de chiffrement utilisés par les attaquants
• Étape #2 : Activer l’audit des accès et modifications de fichiers
• Étape #3 : Surveiller les volumes d’écriture anormaux sur le disque
• Étape #4 : Restreindre l’usage de PowerShell et .NET Crypto
• Étape #5 : Corréler les événements avec l’activité réseau
Les Avantages• Étape #1 : Réduction du risque d’exfiltration furtive
• Étape #2 : Amélioration de la traçabilité des fichiers sensibles
• Étape #3 : Détection d’activités de compression ou de chiffrement massif
• Étape #4 : Blocage des scripts chiffrants malveillants
• Étape #5 : Détection de tunnels chiffrés et flux suspects
Les Inconvénients• Étape #1 : Nécessite une analyse manuelle ou heuristique
• Étape #2 : Volume important de logs générés
• Étape #3 : Surveillance disque potentiellement lourde
• Étape #4 : Possible restriction sur outils légitimes
• Étape #5 : Configuration de corrélation complexe
Étape #1
Rechercher les binaires typiques :
Code:
gpg.exe
Code:
7z.exe
Code:
openssl.exe
Code:
aescrypt.exe
Code:
powershell.exe -command "[System.Security.Cryptography]"
Ajouter ces processus à une liste de surveillance SIEM
Bloquer via AppLocker ou SRP si non utilisés légitimement
Réaliser des tests en bac à sable Étape #2 Lancer secpol.msc Aller dans :
Code:
Stratégies locales > Stratégie d’audit > Audit de l’accès aux objets
Code:
<EventFiltering> <EventID>11</EventID> <TargetFilename condition="contains">.gpg</TargetFilename> </EventFiltering>
Code:
.7z .zip .gpg .aes .enc
Code:
powershell.exe
Code:
powershell_ise.exe
Code:
dotnet.exe
Code:
System.Security.Cryptography
Code:
Event Viewer > Microsoft > Windows > PowerShell > Operational
Code:
Configuration Windows Defender Firewall > Journalisation
AstuceComparez les hashs de fichiers exfiltrés à ceux d’origine pour détecter le chiffrement en local avant transmission. Un changement de signature cryptographique est un bon indicateur.
Mise en gardeNe bloquez pas arbitrairement tous les outils de chiffrement car certains sont utilisés dans des tâches métier légitimes (sauvegarde, archivage). Privilégiez une approche contextuelle.
ConseilSensibilisez les utilisateurs à l’impact de l’exfiltration chiffrée et mettez en place des politiques de classification et d’étiquetage des données sensibles.
Solutions alternatives• detecter chiffrement exfiltration windows
• sysmon cryptographic operations windows
• edr detect data encryption exfiltration
Liens utiles• Microsoft - Audit des objets
• Sysinternals - Sysmon
• MITRE ATT&CK - Archive Collected Data (T1560)
ConclusionLe chiffrement des données volées avant exfiltration est un moyen courant d’évasion. En combinant surveillance des processus, contrôle d’accès, audit de fichiers et corrélation réseau, il est possible d’identifier et bloquer ces comportements pour protéger efficacement les informations sensibles de l’organisation.
