Pourquoi Active Directory est-il tant utilisé par les attaques informatiques ?

Il existe de nombreuses raisons à l’usage quasi-systématique d’Active Directory lors des attaques informatiques. Nous pouvons citer ici les principales :

• Active Directory est partout :

Et oui ! Le hacker ou concepteur de malware est lui aussi feignant ! Il va à l’essentiel, comme il sait qu’il a plus de 90% de chance de trouver un Active Directory sur votre réseau, il se concentre sur les technologies répandues, il y a peu de chance d’être attaqué sur un Amstrad CPC 6128.

• Active Directory est ancien :

20 ans cette année ! Active Directory est bien construit mais sa conception repose sur des standards datant de deux décennies – depuis les attaquants ont eu le temps d’étudier tout cela et de faire des progrès sur les chemins d’attaque.

• Active Directory est « vivant » :

Il s’agit peut-être du point le plus important : Imaginons que vous réalisiez un audit de votre AD. Les résultats sont bons, tout va bien – pourtant 3 semaines plus tard une attaque vous percute en utilisant des chemins de compromission sur AD… Comment cela est -il possible ? tout simplement parce qu’Active Directory est un objet vivant qui est le réceptacle de milliers de changements quotidiens : création de compte, modification de groupe, rajout de Workstations, installation d’applications… La vérité du jour n’est pas celle du lendemain.

• Mettre à jour les OS des contrôleurs de domaine ne sert « presque » à rien pour la sécurité :

il n’existe finalement que deux chemins d’attaque : (a) Utiliser une mauvaise configuration d’un système ou (b) Utiliser une faille (CVE ou zeroday) d’un système. Quand vous mettez à jour vos contrôleurs de domaine, vous vous protéger contre le chemin (b), celui des vulnérabilités, mais le chemin (a) reste ouvert… surtout que votre design Active Directory a vraisemblablement été réalisé il y a plus de 10 ans…

Découvrons maintenant ensemble les 4 piliers de la sécurité Active Directory.

Pilier numéro 1 : Découvrez et corrigez vos failles existantes

Nietzsche disait « Connaître, c’est comprendre toute chose au mieux de nos intérêts » – il s’avère que cette citation s’applique totalement au spectre de la cybersécurité. Il est extrêmement important de connaître son système informatique, dont l’Active Directory est partie prenante, afin de pouvoir anticiper les problèmes et commencer la remédiation.

Ce premier pilier sera principalement utile aux populations suivantes :

• Administrateurs Active Directory
• Blue teams
• Auditeurs

Il consiste à obtenir une vision à un instant « T » des problèmes de paramétrages Active Directory et des vulnérabilités liées aux systèmes, notamment les contrôleurs de domaine.

En effet, rappelez-vous qu’il n’y a que deux moyens d’attaques d’un système (Active Directory ou autre) :

• Utiliser les mauvaises configurations (dans le cas d’Active Directory, c’est ce biais qui est le plus utilisé par les malwares)
• Utiliser des vulnérabilités pour réaliser des « exploits »

Nous vous conseillons deux outils pour couvrir ces deux aspects.

• Repérer les mauvaises configurations permettant certains chemins d’attaques sur AD

Comme indiqué précédemment, la plupart des attaques de malware (cryptovirus inclus) vont utiliser les mauvaises configurations d’AD pour réaliser le mouvement latéral et l’escalade de privilèges, l’objectif étant de contrôler le domaine AD, c’est-à-dire au final, la quasi-totalité des systèmes de l’organisation.

Pour découvrir de façon statique (= à un instant T) les chemins d’attaque utilisant ces mauvaises configurations, nous vous conseillons l’usage de Bloodhound que vous pouvez télécharger ici : https://bit.ly/36f9r6x

Cet outil modélise les chemins d’attaques et s’appuie sur la notion de relations entre les objets pour matérialiser graphiquement les chemins de compromissions possibles. Il est alors aisé de visualiser de façon claire les différentes failles de configuration AD qui permettent de partir d’un poste de travail et d’atteindre la domination de domaine.

Pour aller plus loin, nous vous conseillons la lecture de cet article sur iTPro.fr consacré à la découverte de l’outil Bloodhound : https://bit.ly/36gKuYg

Interface Bloodhound ( voir: github.com/BloodHoundAD/BloodHound )

• Repérer les vulnérabilités permettant certains chemins d’attaques sur AD

Les vulnérabilités connues sont référencées sous la forme de numéros uniques souvent appelés CVE. Vous pouvez consulter la liste des CVEs pour les différents systèmes (Systèmes d’exploitation, firewall, application, etc.) ici : https://cve.mitre.org/cve/

Nous ne traiterons pas dans cet article des failles de type « zeroday », il nous faudrait plusieurs magazines complets.

Concernant la défense Active Directory, on pense immédiatement aux failles éventuelles sur le système d’exploitation Windows des contrôleurs de domaines, évidement il faut les patcher, mais cela ne suffit pas. En effet un scénario d’attaque AD est basé sur plusieurs étapes, et bien souvent les vulnérabilités de type CVEs sont utilisées en amont de la domination de domaine : sur les workstations Windows bien sûr, mais aussi : les système Linux ou UNIX présents sur le réseau, les applications web, les bases de données, les NAS, etc. En effet, il n’est pas rare que des comptes utilisateurs et des mots de passe AD soient utilisées sur l’ensemble de ces systèmes, ce qui leur confèrent un rôle de porte d’entrée vers Active Directory.

Donc, finalement, il faut traiter les correctifs de sécurité sur l’ensemble de ses systèmes pour éviter un chemin d’attaque Active Directory passant par des CVEs.

Il existe de multiples outils pour scanner votre réseau et vous remonter les CVEs sur l’ensemble de vos systèmes. Nous vous proposons ici de découvrir un outil atypique qui utilise lui aussi un modèle de graph tel que Bloodhound, mais appliqué aux vulnérabilités et non pas aux mauvaises configurations Active Directory : Infection Monkey

Infection Monkey est téléchargeable ici : https://github.com/guardicore/monkey

Dans une première étape, il faudra paramétrer Infection Monkey sur un serveur (un serveur Windows ou Linux) puis lancer un scan des vulnérabilités sur votre réseau – Infection Monkey réalise un focus sur les vulnérabilités suivantes :

• SSH
• SMB
• WMI
• Shellshock
• Conficker
• SambaCry
• Elastic Search (CVE-2015-1427)
• Weblogic server

Une fois le scan de vulnérabilités terminé, il réalisera un graph démontrant les chemins d’attaques utilisant des CVEs. Par exemple, utiliser une CVE SSH pour rebondir sur un serveur Linux puis utiliser une vulnérabilité WMI pour rebondir sur un serveur Windows puis utiliser une vulnérabilité SMB sur les contrôleurs de domaine.

Le principe de graph permettant de visualiser de façon claire les chemins d’attaque jusqu’à la domination de domaine.

Interface Infection Monkey ( voir: github.com/guardicore/monkey )

Pilier numéro 2 : Découvrez les chemins d’attaque en temps réel

Pour bien appréhender l’importance stratégique de ce pilier, il faut comprendre comment se déroule classiquement une attaque :

Description d’une attaque classique

• Première étape

L’attaque cible la workstation pour installer un pivot dans l’architecture du client – cette première attaque est souvent exécutée par le biais d’une pièce jointe infectée lors d’une action de Phishing par exemple

• Deuxième étape 

La première partie de l’attaque a permis de préparer la deuxième étape, un code malicieux est téléchargé depuis Internet et commence la découverte du réseau et de sa pièce maitresse, Active Directory – c’est pendant cette étape que tout se joue car le code va surveiller en temps réel l’Active Directory et l’apparition de nouvelles déviances. Le code est donc latent, et va s’activer dès qu’un chemin d’attaque apparait sur Active Directory – Le pilier numéro 2 est donc essentiel, car il vous permettra de faire comme le malware ! et de surveiller en temps réel l’apparition de nouveaux chemins, vous aurez environ entre 1 et 4 heures pour corriger la faille avant l’activation du malware dans sa troisième étape

• Troisième étape 

Une fois le chemin d’attaque détecté le code va réaliser une escalade de privilège afin de devenir administrateur de domaine – puis la phase de persistance s’enclenche, permettant de masquer la plupart des opérations et de préparer l’étape finale

• Quatrième étape 

Tout est prêt pour exécuter la menace qui consistera en un chiffrement des données dans l’entreprise ou d’un vol de données ou les deux. Une demande de rançon sera généralement réalisée pour récupérer ses données ou pour éviter la divulgation sur Internet des informations collectées.

En résumé, il faut bien comprendre que l’attaque surveille en temps réel la configuration Active Directory et l’apparition de chemins d’attaque, il est donc primordial que vous puissiez vous aussi être alerté au travers de votre SIEM notamment.

Alsid for AD est un outil vous permettant de surveiller en temps réel votre configuration Active Directory, de faire le lien entre une modification et un chemin d’attaque avéré et d’alerter votre SIEM dans la foulée. Alsid for AD propose un ensemble d’Indicateurs d’exposition qui représentent un pool de vérifications techniques regroupées dans un ensemble logique :

Interface Alsid Indicateurs d’Exposition (voir : www.alsid.com)

Pilier numéro 3 : Détectez les attaques 

Le pilier numéro 3 vous permettra de détecter certaines attaques ou actions malicieuses réalisées sur Active Directory par un individu ou par du code automatisé. Ce pilier sera notamment utile si vous avez failli sur les piliers 1 et 2.

La détection d’attaque est une brique très intéressante, malheureusement certaines organisations pensent que le pilier 3 se suffit à lui-même et qu’il n’y a pas lieu de travailler sur les piliers 1 et 2. Si nous devions faire une analogie avec un accident de voiture :

• Le pilier 1,

c’est le contrôle technique

• Le pilier 2

c’est recevoir un SMS indiquant « Attention, vous avez un problème sur les freins et la boîte de vitesse, il faut le corriger immédiatement »

• Le pilier 3,

c’est recevoir un SMS indiquant « vous venez de crashez votre voiture dans le mur en béton »

Il faut donc garder à l’esprit les éléments suivants :

• Il est impossible de détecter 100 % des attaques
• Par définition, les outils de détection d’attaque génèrent de nombreux faux positifs, il faut donc s’assurer de ne pas noyer votre SIEM sous des évènements non contextualisés
• Détecter une attaque est un aveu d’échec ! Cela signifie que vous n’avez pas su mettre en œuvre en amont les deux premiers piliers
• Si une attaque est détectée, c’est généralement déjà trop tard, vos données sont peut-être déjà chiffrées…

Conscient de l’importance fondamentale d’Active Directory lors des attaques de ransomwares, Microsoft propose à ses clients l’outil Microsoft ATA (Advanced Threat Analytics) permettant de détecter certaines manipulations classiques lors d’une attaque : DC-Sync, les attaques sur le hash, la création de services sur les contrôleurs de domaine, l’exécution distante WMI Exec, etc.

Microsoft ATA est doté d’une interface épurée et peut être relié à un SIEM, mais nécessitera l’installation d’un agent sur l’ensemble des contrôleurs de domaine ou de réaliser une configuration basée sur du « port mirroring » afin d’intercepter le trafic réseau.

Interface Microsoft ATA (voir : www.microsoft.com)

Pilier numéro 4 : Repérez les activités malicieuses et comprenez les modifications réalisées

Active Directory est un objet mouvant. Selon la taille de l’environnement d’entreprise, il n’est pas rare de constater des centaines ou même des milliers de modifications quotidiennes. Il est extrêmement utile de pouvoir suivre et constater tous ces changements et d’être en capacité de pouvoir « remonter le temps » des modifications. Une frise temporelle des changements permettra de répondre aux informations suivantes :

• Quels objets ont été changés ?
• Est-ce que des ACEs (permissions) additionnelles ont été positionnées sur tel objets ?
• Quelle était la valeur de tel attribut avant le changement et après le changement ?
• Est-ce qu’une GPO a été modifiée dans les derniers mois ?

Le suivi des modifications peut être utilisé dans le cadre de l’administration courant Active Directory mais se révèle particulièrement utile pendant des revues de sécurité.

Un premier niveau d’information peut être obtenu via les journaux événements Windows, en activant les bonnes options on peut suivre un certain nombre de changements réalisés – il sera alors utile d’envoyer l’ensemble des journaux événements des contrôleurs de domaine vers un concentrateur de logs. Microsoft propose une fonction gratuite pour réaliser cela : Windows Event Forwarding (WEF) – De plus, le paramétrage de l’envoi des logs vers un concentrateur peut être réalisé par le biais de GPOS.

Interface Windows Event Viewer

Les journaux événements Windows ne permettent malheureusement pas de couvrir tous les types de modifications ou tous les types d’attaques. Si nécessaire, vous pourrez par exemple utiliser Alsid for AD et sa fonction Trail Flow pour compléter votre arsenal et aller plus loin sur le suivi des modifications d’objets et d’attributs Active Directory.

Interface Alsid Trail Flow (voir : www.alsid.com)

Conclusion

Dans chaque organisation, il sera donc extrêmement important d’implémenter a minima les deux premiers piliers de la sécurité Active Directory afin de se protéger des attaques de dernières générations et de la plupart des malwares (du moins de se protéger de leur dissémination dans l’entreprise).

Une fois les deux premiers piliers construits, il sera nécessaire d’investir dans les piliers 3 et 4 si l’on désire couvrir des scénarios de sécurité complémentaires et d’améliorer de façon continue le niveau de résilience de l’organisation face aux attaques informatiques.

Pour aller plus loin sur le thème de la sécurité Active Directory sur iTPro.fr : Sécurité | iTPro.fr