Académique Documents
Professionnel Documents
Culture Documents
Persistance
DIFFICULTÉ
Détection: Bas
Atténuation: Douleur moyenne
Réponse: Bas
https://www.netwrix.com/adminsdholder_modification_ad_persistence.html
Le filtre XPath suivant peut être utilisé dans l’Observateur d’événements Windows
pour détecter les modifications apportées à la liste de contrôle d’accès du conteneur
AdminSDHolder :
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[(EventID=5136)]]
and
*[EventData[Data[@Name='ObjectDN'] and
(Data='CN=AdminSDHolder,CN=System,DC=YourDomain,DC=com')]]
and
*[EventData[Data[@Name='AttributeLDAPDisplayName'] and
(Data='nTSecurityDescriptor')]]
</Select>
</Query>
</QueryList>
Une fois que vous avez trouvé un événement correspondant, AttributeValue peut
être décodé de son format SDDL natif en un format lisible par l’homme à l’aide de
l’applet de commandeConvertFrom-SddlStringde PowerShell.
$ACL = ConvertFrom-SddlString -Sddl "O:DAG:DAD:PAI(OA;;CR;1131f6ad-9c07-
11d1-f79f-00c04fc2dcd2;;S-1-5-21-5840559-2756745051-1363507867-1127)
(OA;;CR;1131f6ad-9c07-11d1-f79f-00c04fc2dcd2;;S-1-5-21-5840559-2756745051-
1363507867-1129)(OA;;RPWP;bf967a7f-0de6-11d0-a285-00aa003049e2;;CA)
(OA;;RP;46a9b11d-60ae-405a-b7e8-ff8a58d456d2;;S-1-5-32-560)
(OA;;RPWP;6db69a1c-9422-11d1-aebd-0000f80367c1;;S-1-5-32-561)
(OA;;RPWP;5805bc62-bdc9-4428-a5e2-856a0f4c185e;;S-1-5-32-561)
(OA;;CR;ab721a53-1e2f-11d0-9819-00aa0040529b;;WD)(OA;;CR;ab721a53-1e2f-
11d0-9819-00aa0040529b;;PS)(OA;CI;RPWPCR;91e647de-d96f-4b70-9557-
d63ff4f3ccd8;;PS)(A;;LCRPRC;;;S-1-5-21-5840559-2756745051-1363507867-4102)
(A;;RPWP;;;S-1-5-21-5840559-2756745051-1363507867-1127)(A;;RPWP;;;S-1-5-21-
5840559-2756745051-1363507867-1129)(A;;CCDCLCSWRPWPLOCRRCWDWO;;;DA)
(A;;CCDCLCSWRPWPLOCRRCWDWO;;;S-1-5-21-5840559-2756745051-1363507867-519)
(A;;LCRPLORC;;;RU)(A;;CCDCLCSWRPWPLOCRSDRCWDWO;;;BA)(A;;LCRPLORC;;;AU)
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)S:AI(AU;SA;WPWDWO;;;WD)
(OU;CIIOIDSA;LCRPRC;;bf967aae-0de6-11d0-a285-00aa003049e2;WD)
(OU;CIIDSA;CR;89e95b76-444d-4c62-991a-0facbeda640c;;DU)
(OU;CIIDSA;CR;1131f6aa-9c07-11d1-f79f-00c04fc2dcd2;;DU)
(OU;CIIDSA;CR;1131f6ad-9c07-11d1-f79f-00c04fc2dcd2;;DU)
(OU;CIIOIDSA;WP;f30e3bbe-9ff0-11d1-b603-0000f80367c1;bf967aa5-0de6-11d0-
a285-00aa003049e2;WD)(OU;CIIOIDSA;WP;f30e3bbf-9ff0-11d1-b603-
0000f80367c1;bf967aa5-0de6-11d0-a285-00aa003049e2;WD)
(AU;CIIDSA;LCRPWPRC;;;DU)"
$ACL.DiscretionaryACL
Difficulté : moyenne
Le conteneur AdminSDHolder est un élément central d'Active Directory. Par défaut, seuls les
utilisateurs disposant de privilèges administratifs dans Active Directory peuvent modifier leur
ACL. Pour atténuer le risque de modification non autorisée :
Difficulté : Faible
Si des autorisations non autorisées sont accordées sur le conteneur AdminSDHolder,
les actions suivantes peuvent être prises pour répondre :
• Activer le processus de réponse aux incidents et alerter l'équipe d'intervention
• Supprimez l'ACL nouvellement ajoutée ; si cela est fait avant l'exécution du processus
SDProp (par défaut toutes les 60 minutes), aucune nouvelle autorisation sur les objets
protégés ne sera propagée.
• Réinitialisez le mot de passe du compte utilisateur qui a effectué la modification non
autorisée de l'ACL du conteneur AdminSDHolder. Désactivez éventuellement l'utilisateur
pour a) forcer la réplication instantanée sur tous les contrôleurs de domaine, et b) perturber
l'utilisation de ce compte par l'adversaire
• Mettre en quarantaine les machines impactées pour les enquêtes médico-légales et les
activités d'éradication et de récupération.
Détecter
Difficulté : Faible
La surveillance des modifications apportées à l'ACL du conteneur AdminSDHolder est un
bon moyen de détecter une activité potentiellement malveillante. Dans un environnement
normal, les modifications apportées à AdminSDHolder doivent se produire rarement et suivre
les processus de contrôle des modifications.
Le filtre XPath suivant peut être utilisé dans l'Observateur d'événements Windows pour
détecter les modifications apportées à l'ACL du conteneur AdminSDHolder :
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[(EventID=5136)]]
and
*[EventData[Data[@Name='ObjectDN'] and
(Data='CN=AdminSDHolder,CN=System,DC=YourDomain,DC=com')]]
and
*[EventData[Data[@Name='AttributeLDAPDisplayName'] and
(Data='nTSecurityDescriptor')]]
</Select>
</Query>
</QueryList>
Une fois que vous avez trouvé un événement correspondant, l'AttributeValue peut être décodé
de son format SDDL natif en lisible par l'homme à l'aide de PowerShell.
ConvertFrom-SddlString cmdlet.
$ACL.DiscretionaryACL
Atténuer
Difficulté : moyenne
Le conteneur AdminSDHolder est un élément central d'Active Directory. Par défaut,
seuls les utilisateurs disposant de privilèges administratifs dans Active Directory
peuvent modifier leur ACL. Pour atténuer le risque de modification non autorisée :
Répondre
Difficulté : Faible
Si des autorisations non autorisées sont accordées sur le conteneur AdminSDHolder,
les actions suivantes peuvent être prises pour répondre :
ÉTAPE 1
Session..........: hashcat
Status...........: Cracked
Hash.Name........: Kerberos 5, etype 23, AS-REP
Hash.Target......: $krb5asrep$23$joed@domain.com:e7d1f...2ac95c
Time.Started.....: Thu Jul 23 18:58:36 2020 (0 secs)
Time.Estimated...: Thu Jul 23 18:58:36 2020 (0 secs)
Guess.Base.......: File (.\wordlist.txt)
Guess.Queue......: 1/1 (100.00%)
Speed.#1.........: 97694 H/s (0.26ms) @ Accel:256 Loops:1 Thr:64
Vec:1
Recovered........: 1/1 (100.00%) Digests
Progress.........: 100/100 (100.00%)
Rejected.........: 0/100 (0.00%)
Restore.Point....: 0/100 (0.00%)
Restore.Sub.#1...: Salt:0 Amplifier:0-1 Iteration:0-1
Candidates.#1....: 123456 -> taylor
Hardware.Mon.#1..: Temp: 47c Fan: 34% Util: 32% Core:1265MHz
Mem:2504MHz Bus:16
ÉTAPE 2
ÉTAPE 3
Utiliser les autorisations pour récupérer l’accès
À ce stade, l’adversaire a le contrôle des comptes JoeD et BobT et a créé un mécanisme
de persistance qui lui permettra de récupérer les privilèges d’administrateur de
domaine s’il perd l’accès à JoeD. BobT est un administrateur fantôme du domaine Active
Directory.
Dans cet exemple, l’adversaire a perdu l’accès au compte de JoeD. Au lieu d’avoir à rôtir
à nouveau AS-REP ou à utiliser une autre méthode, l’attaquant peut utiliser le compte de
BobT pour rétablir sa position.