Mouvement Lateral en Lab: SMB, WMI et WinRM avec Focus Detection

Le mouvement lateral n est pas de la magie: c est un attaquant qui reutilise des identifiants valides au sein de protocoles legitimes. Dans notre lab GOAD avec trois Windows Server 2019 et un Windows 10 joints au domaine sevenkingdoms.local, nous avons pivote d un poste vers le DC en moins de huit minutes en utilisant uniquement SMB, WMI et WinRM. L objectif ici n est pas d enchainer les pivots, mais de montrer ou chaque technique hurle dans les logs et comment ecrire la detection avant l incident reel. Si votre environnement n est pas pret, commencez par Pentest Active Directory : Kerberoasting Pas a Pas dans un Lab GOAD.

Nous avons demarre avec le SMB classique via impacket-psexec et smbexec. Apres avoir capture un hash NTLM avec Responder, nous avons lance psexec.py sevenkingdoms.local/jaime@10.0.10.10 -hashes :aad3b... et obtenu SYSTEM. Le bruit est enorme: creation du service RemComSvc en Event ID 7045, ecriture du binaire dans ADMIN$ declenchant l Event ID 5145 avec share name ADMIN$ et un RelativeTargetName se terminant par un .exe aleatoire. La regle Sigma reste courte: filtrer 7045 quand ServiceFileName correspond a huit caracteres alphanumeriques suivis de .exe attrape 90 pour cent des variantes de psexec sans aucune signature binaire.

WMI deplace la surface de logging. Avec wmiexec.py d impacket ou un Invoke-WmiMethod direct, le processus enfant nait de WmiPrvSE.exe et non de services.exe. Dans Sysmon cela apparait en Event ID 1 avec ParentImage=C:\Windows\System32\wbem\WmiPrvSE.exe et CommandLine contenant cmd.exe /Q /c qui est la signature standard de wmiexec. Couplez avec l Event ID 3 (connexion reseau) sortant de la cible sur le port 445 pour exfiltrer la sortie, et la confiance monte. Pour une chasse plus large des abus LOLBin, revoyez Hunting des Living-off-the-Land Binaries sous Windows avec KQL et adaptez les requetes a votre stack.

WinRM est le chouchou des operateurs modernes parce qu il ressemble a du trafic admin legitime. Nous avons declenche Enter-PSSession -ComputerName dc01 -Credential $cred puis un Invoke-Command distant. Les indicateurs sont a trois endroits: Microsoft-Windows-WinRM/Operational Event ID 91 (session creee), Security Event ID 4624 avec LogonType 3 et AuthenticationPackage Negotiate, et Sysmon Event ID 1 avec ParentImage=wsmprovhost.exe. Une bonne regle Sigma correle wsmprovhost.exe comme parent de tout processus autre que conhost.exe ou csrss.exe dans une fenetre de cinq minutes, ce qui elimine le bruit de PowerShell DSC.

La partie que personne ne raconte: detecter une technique isolee est facile, detecter toute la chaine est ce qui compte. Nous avons construit un playbook Elastic qui enchaine hit Responder -> crack du hash -> premier logon Type 3 avec hash NT sur une machine jamais touchee par cet utilisateur -> spawn de wsmprovhost ou WmiPrvSE en moins de dix minutes. Cette correlation temporelle a fait chuter les faux positifs de 40 alertes par jour a 2 par semaine dans notre lab simule. Si vous debutez avec Sigma et Elastic, Threat Hunting avec Sigma et Elastic: De l'Indicateur a la Regle de Detection couvre le pipeline ELK plus sigmac que nous utilisons comme base.

Rappel important: tout ceci suppose une telemetrie decente. Sans Sysmon avec config Olaf ou SwiftOnSecurity, sans PowerShell Script Block Logging actif (Event ID 4104) et sans collecte des canaux WinRM et WMI-Activity, vos regles Sigma deviennent de la poesie. Dans GOAD nous appliquons une GPO minimale qui active ces quatre points sur tous les hotes; c est la meme base que nous recommandons dans Durcissement de Windows 11 pour Postes de Travail a Haut Risque pour les postes corporate. Telemetrie d abord, regle ensuite, toujours dans cet ordre, sinon vous detectez l attaquant par le silence des logs qui n arrivent jamais.

Enfin, OPSEC du chercheur: les labs de mouvement lateral generent des hashes, des tickets kerberos et des echantillons qui ne doivent pas fuir vers votre poste reel. Nous travaillons toujours en VMs isolees en reseau host-only, avec snapshots avant chaque execution, et nous ne reutilisons jamais de mots de passe entre lab et production personnelle. Pour une vision plus large de l isolement des environnements de recherche, OPSEC pour Chercheurs en Securite: Modele de Menace Personnel presente le modele que nous avons adopte. Takeaway pratique: choisissez une technique cette semaine (nous suggerons WMI car la moins detectee), reproduisez-la dans GOAD, ecrivez la regle Sigma, validez avec Atomic Red Team T1047, puis seulement passez a la suivante. Cycle court, detection reelle.