Logo Akuity SOC
Akuity SOC
CYBERSECURITY
Threat Hunting & KQL

Isoler les communications suspectes : KQL pour les ports 4444 et 8080

5 min de lecture Akuity SOC · Delphisoft Deutschland

Les pirates utilisent des ports réseau non standards pour exfiltrer des données. Apprenez à les bloquer avec la table DeviceNetworkEvents en KQL.

Dans le modèle de défense en profondeur, surveiller ce qui entre sur votre réseau est crucial, mais surveiller ce qui en sort est vital. Lorsqu'un malware ou un ransomware parvient à s'exécuter sur une machine (souvent via un email de phishing), sa priorité absolue est "d'appeler à la maison". Il doit établir une communication avec un serveur de Commande et Contrôle (C2) géré par l'attaquant pour télécharger sa charge utile finale ou exfiltrer des données volées.

Pour contourner les pare-feu de base, les attaquants utilisent souvent des ports réseau non standards ou liés à des outils de développement. Pour un analyste SOC, traquer les communications vers ces ports à haut risque via la table DeviceNetworkEvents est une mission de Threat Hunting quotidienne.

Pourquoi cibler les ports 4444, 8000, 8080 et 9000 ?

Le trafic légitime d'entreprise utilise généralement les ports 80 (HTTP) et 443 (HTTPS) pour la navigation web. Les attaquants aiment cependant utiliser des ports alternatifs pour passer sous le radar ou parce qu'ils utilisent des outils offensifs configurés par défaut sur ces canaux :

  • Port 4444 : C'est le port d'écoute par défaut du célèbre framework de piratage Metasploit (Meterpreter). La présence d'une communication sortante sur ce port est un drapeau rouge (Red Flag) absolu indiquant qu'un attaquant a pris le contrôle distant (Reverse Shell) d'un ordinateur.
  • Ports 8000, 8080, 9000 : Souvent utilisés par des serveurs web de test (Python, Node.js, Tomcat), les attaquants les détournent fréquemment pour y héberger des scripts malveillants ou contourner les règles de filtrage HTTP strictes sur le port 80.

La requête KQL de détection réseau (DeviceNetworkEvents)

La table DeviceNetworkEvents de Microsoft Defender for Endpoint consigne chaque création de connexion réseau (TCP/UDP) sur les appareils surveillés.

Voici le modèle de requête KQL pour isoler instantanément les machines qui tentent de communiquer vers ces ports à haut risque :

DeviceNetworkEvents
| where Timestamp > ago(7d)
| where ActionType == "ConnectionSuccess"
| where RemotePort in (4444, 8000, 8080, 9000)
// Exclure les IP privées internes pour ne garder que le trafic sortant vers Internet
| where RemoteIPType == "Public"
| project Timestamp, DeviceName, InitiatingProcessFileName, RemoteIP, RemotePort, RemoteUrl
| sort by Timestamp desc

Analyse de la requête :

  1. Le focus sortant (RemotePort et RemoteIPType) : On cherche explicitement les connexions qui réussissent vers l'extérieur du réseau sur la liste des ports suspects.
  2. L'identification du processus (InitiatingProcessFileName) : L'information la plus précieuse ! Savoir que l'ordinateur s'est connecté au port 4444 est bien, mais savoir que c'est le processus powershell.exe ou wscript.exe qui a initié la connexion est la preuve définitive d'une compromission "Fileless".

L'automatisation MSSP avec Akuity SOC

Déployer cette surveillance réseau sur 50 entreprises clientes différentes via le portail Azure est une tâche fastidieuse qui décourage souvent les MSSP.

C'est pourquoi l'orchestrateur Akuity SOC transforme cette routine en un clic. Le terminal de Threat Hunting KQL (Kusto Query Language) embarque un gabarit prêt à l'emploi nommé "Réseau suspect".

En utilisant le Sélecteur Multi-Tenant de la plateforme, l'analyste N1 peut charger ce gabarit et balayer la sécurité réseau de chaque client à la vitesse de l'éclair. Les résultats s'affichent de manière asynchrone dans une grille dynamique.

Transformer l'alerte en remédiation

Si la requête révèle qu'un PC de la comptabilité communique de façon soutenue sur le port 4444 vers une adresse IP en Russie :

  1. L'analyste évalue la réputation de l'adresse IP de destination (RemoteIP) via la jauge intégrée AlienVault OTX d'Akuity.
  2. L'IP est qualifiée comme serveur C2 par les notes de l'IA Gemini.
  3. L'analyste déclenche une action SOAR de confinement : il isole la machine réseau via Microsoft Intune en un clic, stoppant l'exfiltration de données instantanément, après avoir validé l'action par son code MFA (TOTP).

Bloquez les communications clandestines en temps réel. > Expérimentez nos gabarits d'analyse réseau grâce à notre solution de Threat Hunting KQL Centralisé pour MSSP et réduisez le temps de réponse aux incidents.

Page Solution Associée

Threat Hunting KQL Centralisé pour MSSP

Traquez les signaux faibles à l'échelle via notre console KQL Multi-Tenant. Exécution asynchrone, gabarits et protection par Rate Limiting.

Découvrir la solution complète

Articles du même cluster

Pourquoi le Threat Hunting KQL est chronophage pour un MSSP (et comment l'automatiser)

L'investigation proactive est vitale mais complexe à l'échelle. Découvrez comment automatiser le Threat Hunting KQL sur plusieurs locataires Microsoft Defender.

Lire →

Comment sécuriser vos exécutions KQL globales avec le Rate Limiting

L'API Advanced Hunting de Microsoft est puissante mais soumise à des quotas. Découvrez comment le Rate Limiting d'Akuity SOC protège vos locataires MSSP.

Lire →

Le guide pratique DeviceProcessEvents : Débusquer les malwares Fileless

Les attaquants utilisent PowerShell et CMD pour contourner les antivirus. Apprenez à traquer ces malwares Fileless avec la table KQL DeviceProcessEvents.

Lire →

Analyser les échecs de connexion réseau par IP : Le modèle KQL à copier

Les attaques par force brute et password spraying ciblent vos comptes Entra ID. Apprenez à les traquer grâce à la table KQL DeviceLogonEvents.

Lire →