Protection 🦠 Analyser les signes post-infection via l’Observateur d’événements Windows

[Sylvain*]

Analyser les signes post-infection via l’Observateur d’événements Windows

Introduction

Après une compromission, l’Observateur d’événements Windows devient une source précieuse pour reconstituer la chronologie de l’attaque. Il permet d’identifier l’utilisateur impacté, les processus lancés, les connexions réseau suspectes ou encore les tentatives d’élévation de privilèges. Ce tutoriel montre comment structurer cette analyse.

---

Prérequis

• Droits administrateurs sur la machine compromise

• Connaissance des journaux systèmes, sécurité et applications

• Accès à l’outil Observateur d’événements

---

Procédure

• Étape #1 : Identifier le point d’entrée de l’attaque

• Étape #2 : Rechercher les processus inhabituels ou suspects

• Étape #3 : Tracer les connexions réseau initiées par le système

• Étape #4 : Examiner les élévations de privilèges

• Étape #5 : Sauvegarder et exporter les journaux pour preuve ou corrélation

---

Niveau de difficulté

• Étape #1 : Moyen

• Étape #2 : Difficile

• Étape #3 : Moyen

• Étape #4 : Difficile

• Étape #5 : Facile

---

Les Avantages

• Étape #1 : Permet d’identifier le moment de compromission

• Étape #2 : Repère les charges utiles injectées

• Étape #3 : Détecte l’exfiltration de données ou le beaconing

• Étape #4 : Alerte sur les tentatives d’administrateur

• Étape #5 : Permet une analyse hors-ligne ou via SIEM

---

Les Inconvénients

• Étape #1 : Requiert une bonne chronologie de l’incident

• Étape #2 : Risque de confusion entre activité légitime et malveillante

• Étape #3 : Journaux parfois incomplets sans outils supplémentaires

• Étape #4 : Demande des compétences en analyse forensique

• Étape #5 : Nécessite une procédure d’export rigoureuse

---

Étape #1

Ouvrir

eventvwr.msc

Aller dans Journaux Windows > Sécurité

Filtrer sur les ID

4624

4625

4648

Identifier les connexions suspectes ou horaires inhabituels

---

Étape #2

Aller dans Journaux Windows > Système

Filtrer les ID

7045

(installation service),

4697

(ajout service),

4688

(création processus)

Rechercher les chemins ou exécutables inconnus

Noter les arguments ou hachages s’ils sont visibles

---

Étape #3

Examiner les événements réseau avec

Sysmon

si installé

Aller dans Applications et services > Microsoft > Windows > Sysmon > Operational

Filtrer sur l’ID

3

(connexion réseau)

Repérer les connexions vers des IP externes inconnues

---

Étape #4

Revenir dans le journal Sécurité

Filtrer les événements ID

4672

(privilèges spéciaux),

4673

4689

Identifier les utilisateurs ayant initié ces actions

Vérifier les élévations via

UAC

et comptes privilégiés

---

Étape #5

Clic droit sur chaque journal > Enregistrer tous les événements sous

Choisir un format

EVTX

ou

CSV

Stocker les fichiers sur support externe pour conservation

Transférer les exports vers une plateforme de corrélation ou d’investigation

---

Astuce

Utilisez

Get-WinEvent

pour extraire en ligne de commande les événements précis à la minute près.

---

Mise en garde

Les journaux peuvent être altérés ou effacés par l’attaquant. Assurez-vous qu’ils soient sauvegardés rapidement après la détection de l’incident.

---

Conseil

Activez la sauvegarde automatique des journaux via

Group Policy

pour éviter toute perte lors d’un redémarrage ou effacement.

---

Solutions alternatives

• Analyse post-infection Windows Event Viewer

• ID 4688 event malware trace

• Filtrage des logs Sysmon post-infection

---

Références utiles

• Support Microsoft

• Microsoft Learn

• Recherche GitHub

---

Conclusion
L’analyse post-infection via l’Observateur d’événements permet de retracer les étapes d’une attaque et de répondre rapidement. Elle constitue une source essentielle pour la détection rétrospective et l’investigation forensique sur les postes Windows compromis.