Secrets enfouis : comment un journal de télémétrie Windows caché a révélé les tactiques des rançongiciels
Les enquĂȘteurs de FortiGuard ont dĂ©couvert une mine dâor numĂ©rique dans un journal Windows mĂ©connu, bouleversant les mĂ©thodes traditionnelles dâinvestigation cyber.
Lorsque des cybercriminels compromettent un systĂšme, ils comptent sur leurs techniques dâanti-forensique - suppression de fichiers, nettoyage des journaux, dissimulation de malwares - pour effacer leurs traces. Mais lors dâune rĂ©cente enquĂȘte sur un rançongiciel, lâĂ©quipe FortiGuard Incident Response (FGIR) a mis au jour un Ă©cho numĂ©rique auquel les attaquants ne sâattendaient pas : un journal de tĂ©lĂ©mĂ©trie Windows discrĂštement maintenu, qui a conservĂ© des traces de leur activitĂ©, mĂȘme aprĂšs un nettoyage minutieux.
DĂ©masquer lâinvisible : la dĂ©couverte
Dans une affaire impliquant une campagne de rançongiciel sophistiquĂ©e, les attaquants ont dĂ©ployĂ© leur arsenal habituel dâoutils anti-forensiques, dont la suppression de binaires et lâeffacement des journaux de sĂ©curitĂ©. Pourtant, les enquĂȘteurs ont dĂ©couvert que le fichier AutoLoggerâDiagtrackâListener.etl, enfoui au fond de %ProgramData%\Microsoft\Diagnosis\ETLLogs\AutoLogger\, contenait encore des vestiges inestimables de lâattaque.
Ce fichier ETL est gĂ©nĂ©rĂ© par Event Tracing for Windows (ETW), un sous-systĂšme intĂ©grĂ© conçu pour surveiller les Ă©vĂ©nements systĂšme avec un impact minimal sur les performances. Habituellement exploitĂ© par des solutions avancĂ©es de dĂ©tection et rĂ©ponse sur les terminaux (EDR), ce journal particulier Ă©tait passĂ© inaperçu aussi bien des dĂ©fenseurs que des attaquants - jusquâĂ prĂ©sent.
Ce que les attaquants ont manqué
MalgrĂ© la suppression des exĂ©cutables malveillants - y compris la charge utile du rançongiciel svhost.exe et un outil rootkit dĂ©guisĂ© - les activitĂ©s des attaquants ont Ă©tĂ© capturĂ©es dans le journal ETL. Les donnĂ©es binaires du journal ont rĂ©vĂ©lĂ© les identifiants de processus, SIDs utilisateurs, entrĂ©es de ligne de commande et chemins dâexĂ©cution, autant dâĂ©lĂ©ments cruciaux pour reconstituer la chronologie de lâattaque.
Pour vĂ©rifier ce phĂ©nomĂšne, les chercheurs de FortiGuard ont menĂ© des expĂ©riences contrĂŽlĂ©es sur Windows Server 2022 et Windows 11, en modifiant les paramĂštres de tĂ©lĂ©mĂ©trie et en dĂ©clenchant manuellement la session de journalisation. Ils ont constatĂ© que, bien que le journal puisse ĂȘtre crĂ©Ă©, il restait vide Ă moins que certaines conditions internes - encore inconnues - du service DiagTrack ne soient rĂ©unies.
Conséquences pour les défenseurs
Cette dĂ©couverte met en lumiĂšre une ressource forensique nĂ©gligĂ©e - susceptible de subsister mĂȘme aprĂšs des manipulations poussĂ©es. Pour les dĂ©fenseurs, cela ouvre une nouvelle voie pour retrouver des preuves lĂ oĂč les attaquants pensaient avoir effacĂ© toute trace. Fortinet prĂ©cise que ses outils de sĂ©curitĂ© exploitent dĂ©jĂ la tĂ©lĂ©mĂ©trie Windows, renforçant la dĂ©tection des menaces cachĂ©es et la corrĂ©lation dâactivitĂ©s suspectes Ă lâĂ©chelle du rĂ©seau.
Glossaire WIKICROOK
- Event Tracing for Windows (ETW)
- Fonctionnalité Windows qui enregistre les événements systÚme et applicatifs à des fins de diagnostic et de surveillance.
- Event Trace Log (ETL)
- Fichiers binaires structurĂ©s gĂ©nĂ©rĂ©s par ETW, stockant des enregistrements dâĂ©vĂ©nements dĂ©taillĂ©s.
- Anti-forensique
- Techniques utilisées par les attaquants pour masquer ou détruire les preuves de leurs activités.
- DiagTrack (Expériences utilisateur connectées et télémétrie)
- Service Windows qui collecte et envoie Ă Microsoft des donnĂ©es de diagnostic et dâutilisation.
- Identifiant de processus (PID)
- Identifiant unique attribuĂ© par le systĂšme dâexploitation Ă chaque processus en cours dâexĂ©cution.
