Vous êtes sur la page 1sur 28

Série de webinaires

Attaquer Active Directory


pas à pas par la démonstration :

Etape 1 – Comment prendre possession d’une


workstation et commencer l’attaque
Sylvain Cortes
Architecte Expert IAM &
CyberSecurity
Enseignant à l’ESGI, au CNAM Thomas Limpens
et à l’Université de Grenoble Ingénieur Avant-vente, Netwrix
@sylvaincortes
sylvaincortes@hotmail.com
Comment poser des questions
 Tous les participants sont en mode muet.

 N’hésitez pas à poser vos questions

 Nous répondrons aux questions au cours


du webinaire, ou à la fin lors de la session Posez votre
de questions-réponses. question ici

 Vous recevrez les diapositives et Cliquez sur


« Send »
l’enregistrement du webinaire dans un e-
(Envoyer)
mail ultérieur.

 Le webinaire dure environ 50-60 minutes.


Agenda
 Biographie de Sylvain Cortes
 Objectifs du webinar
 Pourquoi protéger Active Directory ?
 Red Team, Blue Team & Purple Team
 Les différentes phases d’une attaque
 MITRE ATT&CK
 Obtenir un compte utilisateur
 Devenir Administrateur local de la machine
 Conclusion
Biographie

Sylvain Cortes Depuis 12 ans  Gestion des identités

 GPOs  Active Directory Hardening


Architecte Expert IAM & CyberSecurity
Enseignant à l’ESGI, au CNAM  Active Directory  Microsoft Identity Manager
et à l’Université de Grenoble  Microsoft Identity Manager  CyberSecurity des OS

 Enterprise Mobility (IDA)  Gestion des privilèges


@sylvaincortes
Mon blog: www.identitycosmos.com  Identité dans le Cloud
sylvaincortes@hotmail.com
Objectifs du webinar

 Expliquer et démontrer comment une attaque se réalise sur un annuaire Active Directory

 Fournir les pistes pour vous mettre dans une posture de Red Team afin d’élaborer un plan
technique de Blue Team

 Vous fournir les pistes pour aller plus loin par vous-même

 Vous fournir le minimum vital

 Nous ne pouvons pas couvrir l’ensemble des éléments, il nous faudrait plusieurs jours de
formation
Pourquoi protéger Active Directory ?

Active Directory est au centre de tout et contrôle énormément d’éléments de votre infrastructure
Pourquoi protéger Active Directory ?

BNP Paribas, Verallia, Auchan,


SNCF, etc...
Pourquoi protéger Active Directory ?

Compromettre Active
Directory, c’est
compromettre la bonne
marche voir la survie de
votre organisation, quelle
que soit son activité…

Merck, Rosnef, etc...


Red Team, Blue Team & Purple Team

Insider
Threats Privileged Lateral Data
Escalation Movement Breach
External Threats

Purple

Red Team Blue Team


Les différentes phases d’une attaque

Etape 2: Explorer
Objectif du webinar #2
le réseau et
Active Directory Network or cloud Perimeter

Insider
Threats Privileged Lateral Data
Escalation Movement Breach
External Threats
1 3
Etape 1:
Attaquer sur la
Etape 3:
workstation et
Objectif du webinar #1 Contrôler Active
devenir
Directory
administrateur
local Objectif du webinar #3
MITRE ATT&CK – attack.mitre.org

Une bonne approche


pragmatique pour découvrir
les types d’attaque et
commencer à se
documenter sur la partie
technique.
Environnement de démonstration

ADMIN Administrateurs
du domaine
Windows2019 [AD] Windows2020 [AD] ADMIN

HelpDesk
ADMIN

win2016US01 NETWRIXSRV ADMIN

Utilisateurs du
REGULAR domaine
USER
WINCLI01 WINCLI02
Les différentes phases d’une attaque
5 – Couvrir ses actions: 6 – Export de
Mouvement shadowing données métier
vertical
4 – Devenir administrateur de
domaine ou de forêt: Escalade
des privilèges

3 – Devenir administrateur
Objectif du webinar #1

d’un ou plusieurs serveurs avec


des applications et données
2 – Devenir administrateur de
plusieurs workstations:
mouvement latéral

1 – Devenir administrateur d’une


workstation: compromission
0 – Ecoute, analyse de initiale
Mouvement horizontal
l’environnement – Social hacking
Obtenir un compte utilisateur

Méthode A Méthode B Méthode C


Social Engineering USB Keylogger Thermanator

https://arxiv.org/pdf/18
06.10189.pdf http://www.keelog.com/fr/keygrabber-pico/

https://en.wikipedia.org/wiki
/The_Art_of_Deception
Obtenir un compte utilisateur

Méthode D Méthode E
Phishing Malscam

https://seguranca-
informatica.pt/flawedammyy-
leveraging-undetected-xlm-
https://en.wikipedia.org/wiki/Phishing macros-as-an-infection-vehicle/
Obtenir un compte utilisateur

Méthode A
Social Engineering Une petite histoire dans le TGV…
Obtenir un compte utilisateur
1 2 3

Entreprise confirmée, géographie, etc. https://www.coursflorent.fr/ +


et ancienne du cours Florent à Paris sur Google: Nom d’un professeur du
Prénom, nom, entreprise et « tête » une période donnée cours Florent sur la même période

4 5 6

« Bonjour Lucie, comment vas-tu ! » « Mon métier: Sécurité Informatique »

« Tu te rappelles du professeur Xavier ? »


Les différentes phases d’une attaque
5 – Couvrir ses actions: 6 – Export de
Mouvement shadowing données métier
vertical
4 – Devenir administrateur de
domaine ou de forêt: Escalade
des privilèges

3 – Devenir administrateur
Objectif du webinar #1

d’un ou plusieurs serveurs avec


des applications et données
2 – Devenir administrateur de
plusieurs workstations:
mouvement latéral

1 – Devenir administrateur d’une


workstation: compromission
0 – Ecoute, analyse de initiale
Mouvement horizontal
l’environnement – Social hacking
Devenir Administrateur local de la machine

Méthode A Méthode B Méthode C


Social Engineering Live CD RID Hijacking

CD Linux

CD Windows PE

CD Trinity Rescue Kit

CD Spower Windows Password Reset

https://www.windowspasswordsreset.com https://www.youtube.com/watch?v=9
https://en.wikipedia.org/ qPGuZoJxIc
wiki/The_Art_of_Decepti ftp://ftp.osuosl.org/pub/trk/trinity-rescue-
on kit.3.4-build-372.iso
Devenir Administrateur local de la machine

Méthode B
Live CD
Conclusion
Les deux premières phases de l’attaque consistent à obtenir un compte
utilisateur et à rendre ce compte administrateur local du système

Il est impossible de contrecarrer à 100% ces deux étapes – il reste néanmoins


important d’implémenter les contre-mesures suivantes:

Le prochain webinaire (2/3): maintenant que nous sommes administrateur


local d’une machine, commençons la découverte du réseau et d’Active
Directory puis attaquons le mouvement latéral et vertical
Netwrix Auditor

Démonstration
À propos de Netwrix Auditor

Netwrix Auditor
Netwrix offre une plateforme de sécurité des données, qui permet aux organisations d’identifier avec
précision les informations sensibles, réglementées et critiques et d’appliquer des contrôles d’accès de
manière cohérente quel que soit l’endroit où elles sont stockées.

Notre solution permet de minimiser les risques de violation des données et d’assurer la conformité
réglementaire en réduisant de manière proactive l’exposition des données sensibles et en détectant
rapidement les infractions aux politiques et les comportements suspects des utilisateurs.
A propos de Netwrix Corporation

Fondée en 2006 Support dans le monde :


Siège social à Irvine, Californie USA, EMEA et Asie
Clients dans le monde : plus de 9000
Une des compagnies avec la plus
forte progression sur le marché
des logiciels aux Etats-Unis

(Inc 5000, Deloitte)


Netwrix: Les clients dans le monde
Finances Santé & Pharmacopée

Fédéral, État, Local, Gouvernement Industrie/Technologie/Autres

GA
Récompenses et notoriété de la part de l’industrie

Toutes les récompenses:


www.netwrix.com/awards
Étapes suivantes
 Essai gratuit : Configurez Netwrix Auditor dans votre propre environnement de test
netwrix.fr/auditor9.7

 Appareil virtuel : Mettez Netwrix Auditor en service en quelques minutes netwrix.com/go/appliance


 Démonstration dans le navigateur : Lancez une démonstration dans votre navigateur sans aucune
installation
netwrix.com/go/browser_demo
 Contactez le service des ventes Netwrix France pour obtenir plus d’informations
Pierre Louis Lussan
pierre-louis.lussan@netwrix.com
+33 9 75 18 11 19

 Webinaires à venir et à la demande : Participez aux prochains webinaires ou regardez nos webinaires
enregistrés
netwrix.com/webinars
Questions?

Merci!

Sylvain Cortes
Architecte Expert IAM & CyberSecurity Thomas Limpens
Enseignant à l’ESGI, au CNAM Ingénieur avant-vente Europe du Sud-Ouest,
et à l’Université de Grenoble Netwrix

Vous aimerez peut-être aussi