🔍 Contexte

Publié le 28 mai 2026 sur le SANS Internet Storm Center par Manuel Humberto Santander Peláez (Handler SANS ISC), cet article présente la reconstruction complète d’une kill chain Akira ransomware dans une organisation de taille moyenne, en utilisant exclusivement des syslogs SSLVPN de pare-feu et des exports EVTX Windows (canaux Security, System, PowerShell/Operational). Aucun EDR, aucun PCAP, aucun proxy log n’était disponible.

🚪 Accès initial (Stage 1)

L’attaquant a conduit une attaque par brute-force ciblant un compte SSLVPN local unique, depuis une seule adresse IP dans une plage d’hébergeur. Le compte était désactivé dans Active Directory mais toujours provisionné localement sur le firewall, sans MFA. L’authentification réussie est intervenue après environ 6 heures d’attaque, sans pause — comportement typique du credential stuffing.

🔎 Découverte et accès aux credentials (Stages 2 & 3)

Depuis l’IP VPN assignée, l’attaquant s’est connecté à un jump host (EID 4624). La découverte a été réalisée via des processus enfants de cmd.exe visibles en EID 4688 :

  • nltest.exe /dclist:
  • net.exe group "Domain Admins" /domain
  • net.exe group "Enterprise Admins" /domain
  • whoami.exe /all
  • Un exécutable renommé présentant le comportement d’AdFind.exe

Environ 24 heures plus tard, un cluster d’EID 4769 (tickets RC4 pour plusieurs SPNs en 90 secondes depuis le jump host) a confirmé une attaque de Kerberoasting.

🔄 Mouvement latéral (Stage 4)

Le mouvement latéral s’est étalé sur deux jours via RDP exclusivement (EID 4624 Logon Type 10). Les cibles incluaient le serveur de fichiers, les deux contrôleurs de domaine et le serveur de sauvegarde. EID 4672 a suivi chaque connexion aux DCs, confirmant l’obtention de privilèges domaine. Un nouveau compte a été créé dans une OU non-standard et ajouté à un groupe via son Well-Known SID — indicateur de scripting portable. Des sessions PowerShell -EncodedCommand ont ciblé l’infrastructure de sauvegarde et l’état des shadow copies.

🛡️ Évasion et impact (Stages 5 & 6)

Dans les 12 dernières heures :

  • Effacement du journal Security (EID 1102) sur le jump host
  • Arrêt des services de protection endpoint via sc.exe et net stop (EID 7036)
  • Exécution de vssadmin delete shadows /all /quiet sur tous les hôtes accessibles
  • Chiffrement des fichiers dans les minutes suivantes

Le chiffrement ne représente que ~5% du temps total de présence (dwell time), les 95% restants étant visibles dans les logs existants.

📊 Valeur analytique

L’article démontre que la jointure des logs périmètre et endpoint sur le champ source IP avec axe temporel normalisé est le pivot clé pour reconstituer une kill chain complète. Chaque étape n’était visible que dans une seule source isolément. La rétention limitée (7 jours firewall, tailles par défaut des canaux Windows) a failli compromettre l’analyse.

📋 Type d’article

Post-mortem / analyse technique d’incident réel, visant à illustrer la valeur de la corrélation de sources de logs hétérogènes pour la reconstruction forensique d’une intrusion ransomware.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1078.001 — Valid Accounts: Local Accounts (Initial Access)
  • T1133 — External Remote Services (Initial Access)
  • T1110 — Brute Force (Credential Access)
  • T1087 — Account Discovery (Discovery)
  • T1482 — Domain Trust Discovery (Discovery)
  • T1558.003 — Steal or Forge Kerberos Tickets: Kerberoasting (Credential Access)
  • T1021.001 — Remote Services: Remote Desktop Protocol (Lateral Movement)
  • T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
  • T1070.001 — Indicator Removal: Clear Windows Event Logs (Defense Evasion)
  • T1562 — Impair Defenses (Defense Evasion)
  • T1486 — Data Encrypted for Impact (Impact)
  • T1490 — Inhibit System Recovery (Impact)
  • T1136 — Create Account (Persistence)

Malware / Outils

  • Akira (ransomware)
  • AdFind (tool)
  • nltest (tool)
  • vssadmin (tool)

🟡 Indice de vérification factuelle : 55/100 (moyenne)

  • ✅ isc.sans.edu — source reconnue (liste interne) (20pts)
  • ✅ 9872 chars — texte complet (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 13 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ✅ acteur(s) identifié(s) : Akira (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://isc.sans.edu/diary/Reconstructing+an+Akira+Ransomware+Kill+Chain+from+Perimeter+and+Endpoint+Logs/33024

🖴 Archive : https://web.archive.org/web/20260601071026/https://isc.sans.edu/diary/Reconstructing+an+Akira+Ransomware+Kill+Chain+from+Perimeter+and+Endpoint+Logs/33024