.png)
Emmenez-moi à votre contrôleur de domaine : comment les attaquants se déplacent latéralement dans votre environnement
Dan Gould a également contribué à ce billet.
Dans la première partie de cette série de blogs, nous avons vu différentes manières dont un acteur de la menace peut mener à bien la phase de découverte du framework ATT&CK afin de se faire une idée du terrain après une infection initiale. Cela leur fournit des informations importantes sur le réseau et le domaine, même avec des privilèges de domaine standard. Nous avons également noté certains composants utilisés par un contrôleur de domaine qui peuvent être attaqués directement ou exploités dans le cadre d'une attaque.
Ici, nous allons développer cela pour montrer des exemples d'attaques et d'outils qui peuvent être utilisés contre ces composants pour exécuter la phase suivante d'une attaque : le mouvement latéral.
Grâce à ces informations utiles, comme celles présentées dans le billet précédent lors de la phase de découverte, l'acteur de la menace peut désormais tenter en toute confiance un mouvement latéral sur le chemin menant au contrôleur de domaine. Cependant, ils auront besoin des informations d'identification nécessaires, des informations sur les systèmes cibles intermédiaires et les composants, combinés aux outils d'attaque correspondants, pour atteindre leur cible ultime.
ATT&CK : Mouvement latéral
Les mouvements latéraux, en particulier dans un domaine Windows, peuvent se produire à deux niveaux. Tout d'abord, au niveau de l'application, où l'attaquant peut utiliser des techniques basées sur les informations d'identification, telles que le pass-the-hash ou le pass-the-ticket, qui exploitent à leur tour le niveau du réseau où il passe réellement d'une machine à l'autre pour atteindre la cible ultime, en l'occurrence le contrôleur de domaine.
Cela nous amène aux techniques basées sur les informations d'identification.
Techniques basées sur les informations d'identification pour les mouvements latéraux
Franchement, une fois que les informations d'identification de l'administrateur de domaine sont découvertes, le contrôleur de domaine est généralement accessible en une invite de commande.
Les attaquants cherchent à vider les informations d'identification mises en cache dans des emplacements courants, tels que le service LSASS (Local Security Authority Subsystem Service), utilisé pour authentifier les utilisateurs, les connexions et les autorisations sous Windows. Pourquoi les informations d'identification (mots de passe/tickets hachés) sont-elles conservées en mémoire ? L'authentification unique permet aux utilisateurs de ne pas avoir à se réauthentifier à chaque fois.
Si les attaquants ont de la chance, ils compromettent un système dont les anciennes connexions d'administrateur sont conservées en mémoire. Ces informations de connexion peuvent être extraites à l'aide de Mimikatz ou d'outils similaires d'exploration de la mémoire LSASS. Comme vous le savez déjà, Mimikatz et des outils similaires permettent aux acteurs malveillants de trouver et d'extraire des informations d'authentification telles que les hachages NTLM et les informations de ticket Kerberos à partir de la mémoire du noyau d'un ordinateur en cours d'exécution utilisée par LSASS.
L'exemple ci-dessous montre le dumping d'informations d'identification à l'aide de Mimikatz.
Dans la plupart des cas, il suffit que le compte initialement compromis soit un compte administrateur local sur la machine Windows pour pouvoir exécuter correctement des outils tels que Mimikatz. Cela signifie qu'il disposera des privilèges nécessaires, tels que le privilège de débogage Windows, pour lire le noyau ou la mémoire privilégiée pour certains processus Windows cruciaux tels que LSASS. Comme indiqué précédemment, les domaines Windows s'appuient largement sur la fonctionnalité d'authentification unique pour offrir une expérience presque fluide aux utilisateurs et aux machines qui demandent des ressources sur l'ensemble du domaine. Pour faciliter cela, Windows a utilisé la possibilité de stocker des informations d'identification hachées en mémoire et, pour les anciennes versions, des mots de passe en texte brut en mémoire. C'est l'un des principaux moyens utilisés par des outils tels que Mimikatz pour récupérer des hachages NTLM et, dans certains cas, des mots de passe en texte brut pour des techniques telles que les attaques « pass-the-hash » et « pass-the-ticket ».
Voici à quoi ressemble l'effacement de tickets Kerberos de mémoire :
Rubeus est un autre outil qui peut être utilisé pour les attaques liées aux tickets Kerberos. Il possède des fonctionnalités telles que les demandes de ticket Kerberos, qui permettent de récupérer un Ticket-Granting-Ticket (TGT) en fonction du mot de passe ou du hachage d'un utilisateur dans une instance ou en fonction du magasin de certificats d'un utilisateur. Rubeus peut également être utilisé pour abuser de la délégation contrainte dans les domaines Windows en effectuant une délégation contrainte de service pour utilisateur (S4U) au sein d'un domaine spécifique ou même entre les domaines d'une forêt.
L'exemple ci-dessous montre que l'auteur de la menace est capable de vider les informations de hachage des informations d'identification de la mémoire et de localiser un nom de compte spécifique identifié comme étant un compte administrateur. Ce compte sera présent car il se serait connecté à cette machine à un moment donné.
Ce vidage spécifique inclura également des informations telles que le serveur d'ouverture de session du domaine. Cela peut être corroboré par les informations recueillies lors de la phase de découverte pour confirmer le contrôleur de domaine cible.
Dans l'exemple ci-dessous, à partir du « administrateur informatique » compte NTLM hash qui a été supprimé plus tôt, nous avons pu transmettre ce hachage pour lancer un nouveau processus Windows cmd avec le jeton à privilèges d'administrateur élevés. Cela signifie que le nouveau processus cmd peut effectuer des actions dans le contexte d'un compte privilégié même si l'utilisateur réellement connecté ne dispose que de droits d'administrateur local sur la machine compromise.
Ce nouveau processus sera exécuté avec le jeton élevé de « itadmin », ce qui signifie que nous pouvons l'utiliser pour exécuter d'autres outils d'accès à distance afin de cibler le contrôleur de domaine et de nous connecter à celui-ci via le réseau. Dans l'image ci-dessous, nous pouvons voir qu'après une attaque « pass-the-hash » réussie, un outil secondaire comme Power Admin est utilisé PaExec peut être utilisé pour poursuivre le reste de l'attaque en se connectant à distance au contrôleur de domaine. La commande hostname de l'image confirme le succès du mouvement latéral au niveau de l'application et au niveau du réseau.
Nous pouvons vérifier les services en cours d'exécution sur la machine du contrôleur de domaine pour vérifier que PAExec a établi une connexion avec un processus correspondant. La technique pass-the-hash utilisée pour générer le jeton élevé par l'administrateur sur l'ordinateur portable compromis, qui a ensuite été utilisé pour exécuter l'outil de gestion à distance PaExec, a été couronnée de succès, comme le montre l'image ci-dessous.
Il s'agit d'une démonstration simple de la manière dont les attaquants peuvent se déplacer latéralement, du niveau de l'application (vol d'informations d'identification dans la mémoire de processus) au niveau du réseau (traversée de machines smb, msrpc ou http), pour atteindre la cible ultime : le contrôleur de domaine.
ATT&CK : Impact
À ce stade, ayant atteint le contrôleur de domaine, l'attaquant est responsable. Ils peuvent procéder à la copie à distance de fichiers malveillants supplémentaires sur le contrôleur de domaine. Par exemple, ils pouvaient désormais copier Mimikatz sur le contrôleur de domaine et l'utiliser pour extraire le hachage intégré du compte utilisateur KRBTGT, en plus d'autres informations de domaine, afin de lancer l'attaque Golden Ticket. Cela peut ensuite être utilisé pour des attaques « pass-the-ticket » sur l'ensemble du domaine.
L'attaquant peut même utiliser les outils déjà en place, en vivant de la terre, pour déployer quelque chose comme un ransomware et se connecter à d'autres serveurs sensibles, tels que des serveurs de bases de données ou d'applications, afin d'exfiltrer davantage de données. Il peut s'agir de PsExec, PowerShell, SCCM, n'importe quel outil d'administration informatique capable de déployer des logiciels.
En fonction de la complexité de l'attaque, un attaquant peut utiliser tous les outils personnalisés ou exécuter du code uniquement en mémoire, de sorte que l'analyse des signatures d'outils tels que Mimikatz devient difficile à détecter et à empêcher pour les outils de sécurité. Dans le même ordre d'idées, l'analyse comportementale peut également être gourmande en ressources, de sorte que ces techniques d'analyse peuvent être désactivées, en particulier dans les environnements de serveurs ou les systèmes d'exploitation existants qui exécutent des applications critiques héritées.
Consultez notre prochain article qui examine les mesures d'atténuation de ces attaques.
