🔍 Contexte

Publié le 27 mai 2026 par Manuel Humberto Santander Peláez sur le SANS Internet Storm Center, cet article présente la reconstruction complète d’une kill chain Akira ransomware dans une organisation de taille moyenne, en utilisant exclusivement des syslogs SSLVPN de pare-feu et des exports EVTX Windows (Security, System, PowerShell/Operational). Aucun EDR, PCAP ou proxy log n’était disponible.

🎯 Environnement cible

  • Forêt Active Directory mono-site derrière un NGFW périmétrique
  • Accès distant via SSLVPN pour une petite équipe
  • Logs firewall couvrant ~7 jours avant l’événement de chiffrement
  • Exports EVTX de 2 contrôleurs de domaine et 3 serveurs membres

🔗 Déroulement de l’attaque

Stage 1 – Accès initial :

  • Brute force ciblé sur un compte SSLVPN local depuis une IP unique (plage hébergeur)
  • Le compte était désactivé dans AD mais toujours actif sur le firewall sans MFA
  • Authentification réussie après ~6 heures d’attaque → comportement de credential stuffing

Stages 2 & 3 – Découverte et accès aux credentials :

  • Connexion au jump host via EID 4624 depuis l’IP VPN assignée
  • Activité de découverte via EID 4688 : nltest.exe /dclist:, net.exe group "Domain Admins", whoami.exe /all, AdFind (renommé)
  • Kerberoasting : cluster d’EID 4769 RC4 sur 3 comptes de service en 90 secondes depuis le jump host

Stage 4 – Mouvement latéral :

  • RDP exclusif sur 2 jours (EID 4624 Logon Type 10) depuis le jump host vers serveur de fichiers, DCs, serveur de backup
  • EID 4672 sur chaque connexion DC → privilèges domaine acquis
  • Création d’un compte dans une OU non-standard, ajout à un groupe via Well-Known SID (indicateur de scripting portable)
  • Sessions PowerShell -EncodedCommand : reconnaissance de l’infrastructure backup et état des shadow copies

Stages 5 & 6 – Évasion et impact :

  • EID 1102 : effacement du journal Security sur le jump host
  • Arrêt des services de protection endpoint via sc.exe / net stop (EID 7036)
  • vssadmin delete shadows /all /quiet sur tous les hôtes accessibles
  • Chiffrement des fichiers dans les minutes suivantes

📊 Mapping MITRE ATT&CK

Stage ID Technique
Initial Access T1078.001, T1133 Valid Accounts / External Remote Services
Discovery T1087, T1482 Account/Domain Trust Discovery
Credential Access T1558.003 Kerberoasting
Lateral Movement T1021.001 RDP
Defense Evasion T1070.001, T1562 Clear Logs / Impair Defenses
Impact T1486, T1490 Data Encrypted / Inhibit System Recovery

📝 Nature de l’article

Il s’agit d’un rapport d’incident technique détaillé, dont l’objectif principal est de démontrer la valeur de la corrélation entre logs périmètre et logs endpoint pour reconstituer une kill chain complète, et de fournir des indicateurs de détection concrets basés sur des patterns observés.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1078.001 — Valid Accounts: Local Accounts (Initial Access)
  • T1133 — External Remote Services (Initial Access)
  • T1087 — Account Discovery (Discovery)
  • T1482 — Domain Trust Discovery (Discovery)
  • T1558.003 — Steal or Forge Kerberos Tickets: Kerberoasting (Credential Access)
  • T1021.001 — Remote Services: Remote Desktop Protocol (Lateral Movement)
  • T1070.001 — Indicator Removal: Clear Windows Event Logs (Defense Evasion)
  • T1562 — Impair Defenses (Defense Evasion)
  • T1486 — Data Encrypted for Impact (Impact)
  • T1490 — Inhibit System Recovery (Impact)

Malware / Outils

  • Akira (ransomware)
  • AdFind (tool)
  • vssadmin (tool)
  • nltest (tool)

🟢 Indice de vérification factuelle : 65/100 (haute)

  • ✅ isc.sans.edu — source reconnue (liste interne) (20pts)
  • ✅ 10400 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 10 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Akira (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://isc.sans.edu/diary/33024