Guido Grillenmeier

Les cybercriminels utilisent de nouvelles tactiques et techniques pour accéder à Active Directory de manière inédite. nouvelles leurs attaques sont encore plus dangereuses et plus difficiles à détecter.

L'un des éléments les plus importants de toute stratégie de cybersécurité est la la détection. Il s'agit d'être capable de repérer le malfaiteur qui entre, se déplace ou, pire encore, s'infiltre dans un système informatique.-administrer-votre réseau est la clé d'une réponse rapide. Et comme la médiane nombre médian de jours pendant lesquels un attaquant reste indétecté sur votre réseau est de 146d'après Microsoft, il est évident que les malfaiteurs sont très très bien à travailler en toute discrétion.

Lorsqu'il s'agit de détecter des actions potentiellement malveillantes au sein d'Active Directory (AD), la plupart des organisations s'appuient sur la consolidation des journaux d'événements des contrôleurs de domaine et sur les solutions SIEM pour repérer les connexions et les changements anormaux. Tout cela fonctionne-tant que la technique d'attaque laisse une trace dans les journaux.

Quelques types d'attaques ont été observés dans la nature et ne laissent aucune trace perceptible ou, du moins, aucune trace, aucune preuve d'une de l'activité malveillante. Voici quelques exemples exemples :

  • DCShadow attack: Utilisation de la fonctionnalité DCShadow dans l'outil de piratage Mimikatz, tCette attaque d'abord l'enregistrement d'un contrôleur de domaine (DC) en modifiant la partition de configuration d'AD. Ensuite, l'acteur l'acteur de la menace effectue de faux changements malveillants (par exemple, des changements d'appartenance à des groupes d'administrateurs de domaine, ou même des changements d'appartenance à des groupes d'utilisateurs).ou même des modifications moins évidentes telles que l'ajout du SID du groupe Domain Admins à la partition AD. l'historique sidHistory d'un utilisateur normal compromis). Cette technique d'attaque permet de contourner la journalisation traditionnelle basée sur le SIEM, car le centre de données malveillant ne signale pas les changements.. Iu lieu de celachangements sont injectées directement dans le flux de réplication des contrôleurs de domaine de production.des contrôleurs de domaine de production.
  • Politique du groupe cchangements: Une attaque documentée impliquant Ryuk a entraîné la modification d'un fichier Group Pqui a propagé l'installation du ransomware Ryuk à des points d'extrémité distants au sein de l'organisation victime. Par défaut, les journaux d'événements ne contiennent pas de détails sur ce qui a été modifié, les journaux d'événements ne contiennent pas de détails sur ce qui a été modifié au sein d'un a Group Politique de groupe. Ainsi, si un attaquant effectue une modification malveillante (comme dans le cas de Ryuk), tout ce que l'on voit, c'est que un compte ayant accès à la stratégie de groupe a effectué une modification, ce qui ne déclenchera probablement pas d'alarme.
  • Zérologone attack: Après une preuve-de-concept, le code d'exploitation a été publié en public, un attaquant ayant un accès réseau à un contrôleur de domaine a pu envoyer des messages spéciaux de Netlogon spéciaux consistant en de chaînes de zéros, obligeant à modifier le mot de passe de l'ordinateur du contrôleur de domaine à être remplacé par une chaîne vide. Ainsi, le mot de passe de l'ordinateur du contrôleur de domaine est remplacé par une chaîne vide., sans connexion-c'est-à-dire, avec zéro connexion-l'attaquant possèdes le contrôleur de domainepeut effectuer n'importe quelle modification dans AD, et peut utiliser ce chemin pour attaquer d'autres systèmes de votre infrastructure. Il iest peu probable que vos outils de surveillance soient à l'affût des attaques inattendus changements de mot de passe inattendus sur vos DC.

 

Ce n'est pas un hasard si ces attaques ne laissent pas de traces. n'est pas un hasard si ces attaques ne laissent pas de traces ; c'est une volonté délibérée. Les malfaiteurs passent énormément de temps à inspecter exactement le fonctionnement des environnements qu'ils ciblent et de leurs environnements cibles et à chercher des moyens de contourner, d'obscurcir et d'éluder toute forme de détection.détection - ce qui inclut la journalisation.y compris la journalisation.

Puisque ces types d'attaques existent, la question est de savoir ce qu'il faut faire à ce sujet-à la fois de manière proactive et réactive ?

 

Protection contre les modifications malveillantes de l'Active Directory

Il y a trois Il existe trois façons de protéger votre organisation contre les modifications AD malveillantes :

  1. Surveiller l'AD pour les malicious ctions malveillantes.: TCeci va au-delà du SIEM et implique un une solution tierce-solution tierce conçue pour voir chaque changement effectué dans AD - sans tenir compte de l'auteur, du DC, de la solution utilisée, etc.-idéalement en en lisant et en comprenant le trafic de réplication des DC eux-mêmes. Cette surveillance doit également inclure les changements au sein de la stratégie de groupe. Dans de nombreux cas, les solutions conçues pour surveiller les changements dans AD peuvent définir des protégés objets protégés spécifiques à surveiller pour tout changement-par exemple, changements dans l'appartenance aux administrateurs de domaine-de sorte qu'à chaque fois que ces chaque fois que ces protégés sont modifiés, des alarmes se déclenchent. La solution devrait couvrir à la fois les modifications des stratégies de groupe et la visibilité de la réplication.
  2. Rechercher DCShadow: Mimikatz laisse des artefacts derrière lui et il y a des signes révélateurs que DCShadow a été utilisé sur votre réseau. L'examen d'AD à la recherche de ces signes doit faire partie d'un examen régulier de la sécurité d'AD. Notez que si vous trouvez une trace de Mimikatz DCShadow dans votre environnement, vous devez agir rapidement car vous serez déjà victime d'une attaque. À ce moment-là, vous souhaiterez disposer d'une solution qui vous indiquerait les modifications effectuées au niveau de la réplication, que vous pourriez ensuite analyser et, idéalement, annuler.
  3. Être able de recover AD: Votre organisation a besoin de l'entreprise la capacité proactive de récupérer tout ou partie d'AD si vous que AD a été compromis. Dans certains cas, vous pouvez penser à des sauvegardes et à une stratégie de reprise après sinistre pour récupérer AD dans un scénario de cyberattaque. Si vous Si vous avez effectivement besoin de récupérer l'intégralité de votre service AD, vous pourriez être la prochaine victime d'une cyberattaque.potentiellement en tant que prochaine victime d'une attaque de logiciels malveillantssachez qu'un bon contrôleur de domaine contrôleur de domaine n'équivaut pas à une récupération rapide et transparente du service AD. Vous devrez avoir pratiqué l'ensemble du processus de récupération périodiquement, en suivant les copieux Forêt AD de Microsoft Recovery Guide. Mais il est tout aussi utile de rechercher des solutions qui permettent d'annuler les modifications jusqu'au niveau de l'attribut ou même d'annuler automatiquement les modifications pour protéger les données.t objets protégés lorsqu'elles sont détectées.

 

Ciblage Active Directory et le modifier à la convenance de l'attaquant est une tactique couramment utilisée par les cybercriminels d'aujourd'hui.-à tel point que l'ancien modèle d'audit d'AD d'audit d'audit ADs à la recherche de changements pourrait n'est plus viable. Les organisations qui sont sécurité et l'intégrité de leur AD doivent chercher d'autres moyens d'obtenir une visibilité sur chaque changement AD et d'avoir la possibilité d'accéder à des informations sur les changements. la de revenir en arrière ou de récupérer si nécessaire.