Logo Akuity SOC
Akuity SOC
CYBERSECURITY
Threat Hunting & KQL

Le guide pratique DeviceProcessEvents : Débusquer les malwares Fileless

5 min de lecture Akuity SOC · Delphisoft Deutschland

Les attaquants utilisent PowerShell et CMD pour contourner les antivirus. Apprenez à traquer ces malwares Fileless avec la table KQL DeviceProcessEvents.

Les cyberattaques d'aujourd'hui ne ressemblent plus aux virus des années 2000. Les attaquants professionnels, notamment les affiliés de ransomwares, savent que déposer un fichier exécutable malveillant (.exe) sur un disque dur déclenchera immédiatement l'antivirus. Leur nouvelle arme de prédilection ? Le "Living off the Land" (LotL) ou les attaques "Fileless" (sans fichier).

Au lieu d'amener leurs propres outils, les pirates utilisent les programmes légitimes déjà présents sur Windows, comme PowerShell ou l'Invite de commandes (CMD), pour exécuter du code malveillant directement dans la mémoire vive de l'ordinateur. Pour les débusquer, les analystes SOC doivent scruter la table KQL DeviceProcessEvents dans Microsoft Defender.

Qu'est-ce que la table DeviceProcessEvents ?

Dans le modèle de données de Microsoft 365 Defender (Advanced Hunting), la table DeviceProcessEvents agit comme le "journal intime" du système d'exploitation. Elle enregistre chaque fois qu'un processus démarre sur une machine protégée.

Elle fournit des métadonnées inestimables telles que :

  • Le nom du processus (FileName).
  • La ligne de commande exacte exécutée (ProcessCommandLine).
  • Le compte utilisateur ayant lancé l'action (AccountName).
  • Le processus parent qui a engendré cette action (InitiatingProcessFileName).

Les techniques suspectes à traquer en KQL

Pour identifier une attaque sans fichier, l'analyste doit chercher des comportements anormaux liés aux utilitaires légitimes. Voici les signaux faibles les plus courants :

1. L'Obfuscation (Base64)

Un administrateur système utilise PowerShell pour automatiser des tâches avec des scripts clairs. Un attaquant, lui, cherchera à cacher son code en l'encodant en Base64. Le paramètre -EncodedCommand (ou ses raccourcis -e, -enc) est un indicateur fort.

2. Le téléchargement furtif

PowerShell est souvent utilisé comme "Dropper" (téléchargeur) pour récupérer la charge utile du ransomware (payload) depuis un serveur de commande et contrôle (C2) externe, en utilisant des classes comme Net.WebClient ou Invoke-WebRequest.

3. L'exécution silencieuse

Pour ne pas alerter l'utilisateur de la machine compromise, les pirates lancent les processus en arrière-plan en utilisant les paramètres -WindowStyle Hidden ou -NonInteractive.

Le Gabarit KQL : Comment automatiser la chasse

Rédiger la requête parfaite pour identifier ces comportements demande une expertise KQL pointue. Voici un exemple de requête que les chasseurs de menaces utilisent pour isoler ces processus :

DeviceProcessEvents
| where Timestamp > ago(7d)
| where FileName in~ ("powershell.exe", "cmd.exe")
| where ProcessCommandLine has_any("hidden", "encodedcommand", "enc", "bypass", "invoke-webrequest", "net.webclient")
| project Timestamp, DeviceName, AccountName, FileName, ProcessCommandLine, InitiatingProcessFileName
| sort by Timestamp desc

L'approche intégrée avec Akuity SOC

Pour un MSSP ou un SOC interne, demander à un analyste de Niveau 1 de mémoriser et de taper ce genre de requête à chaque prise de poste est un risque opérationnel.

C'est pour cette raison que la plateforme Akuity SOC intègre des Gabarits de requêtes rapides (Templates).

Dans la console de Threat Hunting Multi-Tenant, un simple clic sur le bouton "Processus suspects" charge automatiquement la requête KQL optimisée pour traquer powershell.exe et cmd.exe dans la zone de saisie vert émeraude.

L'analyste n'a plus qu'à sélectionner le locataire client cible et à exécuter la requête. Les résultats (l'heure, la machine, et surtout la ligne de commande suspecte) s'affichent instantanément dans la grille de résultats asynchrone de l'interface.

Que faire en cas de découverte positive ?

Si la requête KQL remonte une exécution PowerShell contenant du Base64 inexpliqué initiée par un document Word (ex: winword.exe comme processus parent), il n'y a plus de doute : vous êtes face à une compromission en cours.

L'analyste peut alors basculer sur l'onglet de remédiation d'Akuity SOC pour déclencher un "Isolement réseau" (via Intune) de la machine compromise en un clic, coupant l'accès de l'attaquant avant qu'il ne puisse finaliser son attaque.

Accélérez votre investigation proactive. > Utilisez nos gabarits KQL pré-intégrés dans notre Console de Threat Hunting Multi-Tenant pour traquer les malwares Fileless à grande échelle.

Page Solution Associée

Threat Hunting KQL Centralisé pour MSSP

Traquez les signaux faibles à l'échelle via notre console KQL Multi-Tenant. Exécution asynchrone, gabarits et protection par Rate Limiting.

Découvrir la solution complète

Articles du même cluster

Pourquoi le Threat Hunting KQL est chronophage pour un MSSP (et comment l'automatiser)

L'investigation proactive est vitale mais complexe à l'échelle. Découvrez comment automatiser le Threat Hunting KQL sur plusieurs locataires Microsoft Defender.

Lire →

Comment sécuriser vos exécutions KQL globales avec le Rate Limiting

L'API Advanced Hunting de Microsoft est puissante mais soumise à des quotas. Découvrez comment le Rate Limiting d'Akuity SOC protège vos locataires MSSP.

Lire →

Analyser les échecs de connexion réseau par IP : Le modèle KQL à copier

Les attaques par force brute et password spraying ciblent vos comptes Entra ID. Apprenez à les traquer grâce à la table KQL DeviceLogonEvents.

Lire →

Isoler les communications suspectes : KQL pour les ports 4444 et 8080

Les pirates utilisent des ports réseau non standards pour exfiltrer des données. Apprenez à les bloquer avec la table DeviceNetworkEvents en KQL.

Lire →