Indicateurs d'attaque

NomDescriptionNiveau de gravité
Changement de mot de passe suspect sur un DC

La faille de sécurité critique CVE-2020-1472, nommée Zerologon, est une attaque qui exploite une faille de cryptographie dans le protocole Netlogon, permettant à un attaquant d'établir un Netlogon canal sécurisé avec un contrôleur de domaine depuis n'importe quel ordinateur. À partir de là, plusieurs techniques de post-exploitation peuvent être utilisées pour obtenir une élévation de privilèges, telles que le changement de mot de passe du compte du contrôleur de domaine, l'authentification forcée, les attaques DCSync, et autres. L'exploit ZeroLogon est souvent confondu avec les activités de post-exploitation utilisant le véritable contournement d'authentification falsifié Netlogon (traité par l'IOA 'Exploitation Zerologon'). Cet indicateur se concentre sur l'une des activités de post-exploitation pouvant être utilisées conjointement avec la vulnérabilité Netlogon : la modification du mot de passe du compte machine du contrôleur de domaine.

critical
Exploitation Zerologon

La vulnérabilité nommée Zerologon est liée à une vulnérabilité critique (CVE-2020-1472) dans Windows Server ayant reçu un score CVSS de 10.0 par Microsoft. Elle consiste en une élévation de privilèges qui existe lorsqu'un attaquant établit une connexion vulnérable sur le canal sécurisé Netlogon sur un contrôleur de domaine, en utilisant le protocole à distance Netlogon (MS-NRPC). Cette vulnérabilité permet à des attaquants de compromettre un domaine et de se donner les privilèges d'administration du domaine.

critical
Kerberoasting non authentifié

Une attaque Kerberoasting consiste en ce qu'un attaquant demande des tickets de service Kerberos dans l'objectif d'effectuer ultérieurement une attaque hors ligne par force brute à l'encontre de certains éléments techniques chiffrés de ces tickets de service. Ces éléments étant chiffrés grâce aux mots de passe des comptes de service ciblés, si la complexité de ces mots de passe est trop faible, ils peuvent être dévinés par l'attaquant. La méthode classique de l'attaque Kerberoasting est couverte par l'IOA Kerberoasting. Comme mentionné dans le nom de l'indicateur, il existe une autre façon d'executer une attaque Kerberoasting, avec une approche furtive qui pourrait contourner un grand nombre de détections. Les attaquants avancés peuvent privilégier cette méthode pour espérer rester invisible auprès de la plupart des heuristiques de détection.

medium
Exploitation de DnsAdmins

L'exploitation DNSAdmins est une attaque qui permet aux membres du groupe DNSAdmins de compromettre un contrôleur de domaine sur lequel s'exécute le service Microsoft DNS. Un membre du groupe DNSAdmins a les droits pour effectuer des tâches d'administration sur ce service DNS. Des attaquants peuvent abuser de ces droits afin d'exécuter du code malveillant dans un contexte hautement privilégié.

high
Extraction des clés DPAPI

Les clés de sauvegarde DPAPI du domaine sont un aspect essentiel du recouvrement de secrets DPAPI. Une large proportion d'outils d'attaque se focalisent sur la récupération de ces clés sur les contrôleurs de domaine, en utilisant des appels RPC LSA. Microsoft reconnaît qu'il n'existe pas de méthode prise en charge pour renouveler ou changer ces clés. Donc si les clés de sauvegarde DPAPI du domaine sont compromises, ils recommandent de créer un nouveau domaine à partir de zéro ce qui est une opération longue et coûteuse.

critical
Usurpation de sAMAccountName

La CVE critique CVE-2021-42287 a pour conséquence une élévation de privilèges sur le domaine Active Directory à partir d'un compte standard. Le contrôleur de domaine ajoute automatiquement un signe dollar ($) à la valeur sAMAccountName si cette dernière est inexistante, ce qui peut conduire à l'usurpation d'identité du compte machine ciblé.

high
Extraction NTDS

Une attaque par extraction NTDS consiste en l'exfiltration, par un attaquant privilégié, d'une copie de la base de données du domaine Active Directory, cette dernière représentée par le fichier NTDS.dit local à un contrôleur du domaine. Les attaquants peuvent tenter d'accéder directement à une sauvegarde existante du fichier NTDS.dit, ou à en créer une nouvelle à des fins de vol d'identifiants, et plus globalement de toute information sensible concernant le domaine Active Directory (utilisateurs, périphériques ou droits d'accès).

critical
Kerberoasting

Une attaque Kerberoasting consiste en ce qu'un attaquant demande des tickets de service Kerberos dans l'objectif d'effectuer ultérieurement une attaque hors ligne par force brute à l'encontre de certains éléments techniques chiffrés de ces tickets de service. Ces éléments étant chiffrés grâce aux mots de passe des comptes de service ciblés, si la complexité de ces mots de passe est trop faible, ils peuvent être dévinés par l'attaquant. Afin d'être totalement fonctionnel, l'indicateur d'attaque Kerberoasting nécessite que la fonctionnalité Honey Account de Tenable Identity Exposure puisse envoyer une alerte lorsqu'une tentative de connexion a lieu sur le compte ou lorsque le compte reçoit une demande de ticket.

medium
Reconnaissance massive de machines

Un nombre conséquent de requêtes d'authentification sur de multiples machines, en utilisant les protocoles NTLM ou Kerberos et provenant de la même source, peut être une indication d'une attaque.

low
Énumération des administrateurs locaux

L'IOA détecte des attaques de reconnaissance qui utilisent des outils tels que BloodHound/SharpHound afin d'énumérer les membres du groupe local Administrateurs sur les contrôleurs de domaine via l'interface RPC SAMR.

low
PetitPotam

L'outil PetitPotam peut être utilisé afin de forcer l'authentification de la machine cible vers un système distant, généralement dans le but de réaliser une attaque de type relais NTLM. Si PetitPotam cible un contrôleur de domaine, un attaquant peut relayer l'authentification vers un autre machine du réseau afin de s'y connecter avec les plus hauts privilèges.

critical
Pulvérisation de mot de passe

La pulvérisation de mots de passe est une attaque qui tente d'accéder à un grand nombre de comptes (noms d'utilisateur) avec quelques mots de passe couramment utilisés - également connus sous le nom de méthode "faible et lente"

medium
Attaque de mot de passe par force brute

Une attaque de mot de passe par force brute consiste à soumettre de nombreux mots de passe ou phrases de passe dans l'espoir de le deviner. L'attaquant vérifie systématiquement tous les mots de passe et phrases de passe possibles jusqu'à ce que le bon soit trouvé.

medium
DCShadow

DCShadow est une autre attaque de stade avancé de la "kill chain" qui permet à un attaquant disposant d'informations d'authentification privilégiées d'enregistrer un contrôleur de domaine non autorisé afin de pousser les modifications vers un domaine via le mécanisme de réplication.

critical
Dumping d'identifiants système : mémoire LSASS

Une fois qu'un utilisateur s'est connecté, les attaquants peuvent tenter d'accéder aux informations d'authentification stockées dans la mémoire de processus "Local Security Authority Subsystem Service" (LSASS).

critical
Golden Ticket

Une attaque Golden Ticket est un type d'attaque dans lequel un adversaire prend le contrôle du compte de service de distribution de clés Active Directory (KRBTGT) et utilise ce compte pour créer des tickets distributeurs de tickets Kerberos (TGTs) valides.

critical
DCSync

La commande DCSync de Mimikatz permet à un attaquant de se faire passer pour un contrôleur de domaine et de récupérer des empreintes de mots de passe et clés de chiffrement depuis d'autres contrôleurs de domaine, sans exécuter de code sur la cible.

critical