TL;DR Executive

Les anti-forensics sur Windows/macOS se concentrent surtout sur trois leviers: (1) suppression/altération d’artefacts (logs, historiques, fichiers), (2) manipulation temporelle (timestomping), et (3) dégradation de la télémétrie défensive [1][5][18]. Sur Windows, l’effacement des journaux (wevtutil cl), la purge d’historique PowerShell et la suppression du journal USN sont des signaux critiques corrélables [2][6][7][10][11]. Sur macOS, la complexité des Unified Logs (format binaire, multi-fichiers, volume) est exploitable par les attaquants comme par les défenseurs: la difficulté n’est pas l’absence de données, mais leur exploitation robuste et rapide [12][13][14].

Conclusion opérationnelle: la contre-mesure la plus efficace n’est pas une source unique, mais une stratégie de redondance d’artefacts (endpoint + collecte distante + conservation longue + corrélation temporelle), afin que la suppression locale ne suffise pas à détruire la preuve [8][15][16].

1) Problématique

L’anti-forensics vise à empêcher l’investigation fiable en manipulant, cachant ou détruisant les traces numériques [1][17]. En pratique DFIR, la difficulté n’est pas seulement de détecter une technique isolée, mais de démontrer l’intention et l’impact probatoire (altération de la chronologie, perte d’attribution, rupture de chaîne factuelle).

2) Méthodologie (explicite)

2.1 Périmètre

  • Sujet: anti-forensics sur postes Windows et macOS.
  • Axes: effacement de traces, timestomping, réduction de visibilité, contre-mesures de collecte/corrélation.

2.2 Stratégie de recherche

  • Couche A (sources primaires): MITRE ATT&CK, Microsoft Learn/Sysinternals, NIST, documentation système Apple (log(1)) [1][2][3][5][6][7][8][10][11][12][15][16][18].
  • Couche B (sources secondaires crédibles): Google Threat Intelligence, CrowdStrike, Splunk Threat Research, littérature académique (ScienceDirect) [13][14][17][19].

2.3 Volume et filtrage

  • URL évaluées: 19
  • URL retenues et citées: 19
  • Critères d’inclusion: autorité de la source, valeur technique vérifiable, applicabilité DFIR Windows/macOS.
  • Critères d’exclusion: contenu non accessible/peu vérifiable (ex. certaines pages bloquées ou PDF non extractibles proprement).

2.4 Limites

  • Plusieurs pages institutionnelles sont descriptives (pas de métriques comparatives terrain).
  • Les comportements attaquants varient selon EDR, versions OS, politiques de logs et rétention locale.

3) Taxonomie opérationnelle des anti-forensics observables

3.1 Suppression/altération d’artefacts (Indicator Removal)

MITRE classe explicitement l’Indicator Removal comme mécanisme de dissimulation visant à nuire à la détection et à l’enquête [1].

  • Effacement de journaux Windows (T1070.001) [2]
  • Effacement d’historique de commandes (T1070.003) [3]
  • Suppression de fichiers/outils (T1070.004) [4]
  • Timestomping (T1070.006) [5]

3.2 Dégradation de la défense/collecte

Les techniques de type Impair Defenses (T1562) visent la réduction de capacité de détection et d’audit, incluant les mécanismes de collecte [18].

3.3 Modèle de menace probatoire

Un même incident combine souvent plusieurs actions anti-forensics: nettoyage local, suppression d’historique, modification d’horodatage et tentative de casser la corrélation chronologique [1][5][17].

4) Windows: techniques et indices forts

4.1 Effacement de journaux

wevtutil inclut explicitement cl | clear-log [6], et ATT&CK documente wevtutil cl comme TTP courant [2]. Signal clé: Event ID 1102 (« The audit log was cleared ») côté Security log, avec identifiant de compte initiateur [11].

4.2 Effacement d’historique PowerShell

Clear-History ne purge pas l’historique PSReadLine central persistant inter-sessions [10], ce qui crée un angle de détection par incohérence entre historique de session et historique persistant [9][10].

4.3 Effacement/altération du journal USN

Le journal USN est une trace persistante des changements NTFS; sa suppression/désactivation (fsutil usn deletejournal) est une action explicitement possible [7]. Lecture forensique: la tentative d’effacer ce méta-journal doit être traitée comme signal anti-forensics de haute criticité.

4.4 Contre-mesures de télémétrie endpoint

Sysmon offre des événements de création de processus, réseau et de changement de temps de création de fichier (utile contre timestomping) [15].

5) macOS: anti-forensics dans l’écosystème Unified Logs

Depuis macOS 10.12, les Unified Logs remplacent une partie importante des logs Unix classiques et reposent sur un format binaire distribué (tracev3, uuidtext, timesync) [13][14].

5.1 Opportunité forensique

Le volume, la granularité et les métadonnées (process path, PID, type de message, timestamp) offrent une visibilité riche pour reconstruire l’activité [13][14].

5.2 Risque anti-forensics pratique

La complexité structurelle et la pression de rétention locale favorisent une stratégie attaquant « bruit + délai + rotation », où la preuve utile devient difficile à extraire à temps.

5.3 Capacités système natives

La commande log documente des opérations de collecte/stream/show mais aussi des fonctions d’effacement (log erase), qui exigent une gouvernance forte et une supervision stricte des accès privilégiés [12].

6) Discussion critique

  1. Convergence forte: les sources primaires convergent sur l’idée que l’anti-forensics est d’abord une attaque contre la capacité d’enquête, pas seulement contre l’endpoint [1][8][16][18].
  2. Point aveugle fréquent: dépendre uniquement des logs locaux expose à la destruction de preuve; la collecte distante (WEF/WEC/SIEM) réduit ce risque [8].
  3. Valeur de corrélation: les preuves les plus solides émergent d’incohérences entre artefacts (ex. Event 1102 + traces Sysmon + lacunes temporelles + résidus PSReadLine) [10][11][15].
  4. Littérature académique: confirme la dynamique « attaquant vs investigateur » et l’intérêt de modèles de défense adaptatifs [17].

7) Recommandations techniques (orientées preuve)

  1. Rétention et export distant par défaut des journaux critiques (Security, Sysmon, PowerShell, collecteurs centraux) [8][15].
  2. Alerting prioritaire sur:
  • wevtutil cl / effacement de logs [2][6][11]
  • suppression/désactivation USN journal [7]
  • commandes de timestomping et anomalies de chronologie [5][15]
  1. Corrélation multi-artefacts (endpoint + SIEM + sauvegardes journaux) pour résister à l’effacement local.
  2. Playbooks probatoires: documenter explicitement les événements « anti-forensics » comme faits potentiellement intentionnels.
  3. macOS: industrialiser l’extraction Unified Logs (pipeline outillé + fenêtres temporelles fixes) pour réduire la perte d’information liée au volume/rotation [13][14].

8) Conclusion

L’anti-forensics sur Windows/macOS est aujourd’hui un composant standard des intrusions matures. La réponse efficace n’est pas uniquement de « détecter une commande », mais de concevoir une architecture de preuve résiliente: redondance des traces, collecte distante, corrélation temporelle et surveillance explicite des gestes d’effacement. Cette approche augmente à la fois la robustesse technique de l’enquête et la solidité probatoire.

Références

  1. Indicator Removal, Technique T1070 — MITRE ATT&CK, s.dhttps://attack.mitre.org/techniques/T1070/
  2. Indicator Removal: Clear Windows Event Logs (T1070.001) — MITRE ATT&CK, s.dhttps://attack.mitre.org/techniques/T1070/001/
  3. Indicator Removal: Clear Command History (T1070.003) — MITRE ATT&CK, s.dhttps://attack.mitre.org/techniques/T1070/003/
  4. Indicator Removal: File Deletion (T1070.004) — MITRE ATT&CK, s.dhttps://attack.mitre.org/techniques/T1070/004/
  5. Indicator Removal: Timestomp (T1070.006) — MITRE ATT&CK, s.dhttps://attack.mitre.org/techniques/T1070/006/
  6. wevtutil — Microsoft Learn, s.dhttps://learn.microsoft.com/en-us/windows-server/administration/windows-commands/wevtutil
  7. fsutil usn — Microsoft Learn, s.dhttps://learn.microsoft.com/en-us/windows-server/administration/windows-commands/fsutil-usn
  8. Use Windows Event Forwarding to help with intrusion detection — Microsoft Learn, s.dhttps://learn.microsoft.com/en-us/windows/security/operating-system-security/device-management/use-windows-event-forwarding-to-assist-in-intrusion-detection
  9. about_History — PowerShell (Microsoft Learn), s.dhttps://learn.microsoft.com/en-us/powershell/module/microsoft.powershell.core/about/about_history?view=powershell-7.5
  10. Clear-History — PowerShell (Microsoft Learn), s.dhttps://learn.microsoft.com/en-us/powershell/module/microsoft.powershell.core/clear-history?view=powershell-7.5
  11. 1102(S) The audit log was cleared — Microsoft Learn, s.dhttps://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/auditing/event-1102
  12. log(1) BSD General Commands Manual — manpagez, s.dhttps://www.manpagez.com/man/1/log/
  13. Reviewing macOS Unified Logs — Google Cloud Threat Intelligence Blog, 2024https://cloud.google.com/blog/topics/threat-intelligence/reviewing-macos-unified-logs/
  14. How to Leverage Apple Unified Log (AUL) for IR — CrowdStrike, 2024https://www.crowdstrike.com/en-us/blog/how-to-leverage-apple-unified-log-for-incident-response/
  15. Sysmon — Sysinternals (Microsoft), 2024https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon
  16. NIST SP 800-86: Guide to Integrating Forensic Techniques into Incident Response — NIST, 2006https://csrc.nist.gov/pubs/sp/800/86/final
  17. A survey and research challenges of anti-forensics… — ScienceDirect (Forensic Science International: Digital Investigation), 2020https://www.sciencedirect.com/science/article/abs/pii/S2666281720300925
  18. Impair Defenses, Technique T1562 — MITRE ATT&CK, s.dhttps://attack.mitre.org/techniques/T1562/
  19. Hunting for Malicious PowerShell using Script Block Logging — Splunk Threat Research, s.dhttps://www.splunk.com/en_us/blog/security/hunting-for-malicious-powershell-using-script-block-logging.html

Articles qui pourraient vous intéresser