AMBIENT INTELLIGENCE
tech days•
2015
#mstechdays techdays.microsoft.fr
Sécurité Active Directory:
Détecter l’indétectable!
Daniel Pasquier – PFE Security Lead France
Jugoslav Stevic – PFE Ident...
• Pourquoi est-il si difficile de détecter les attaques?
- Etablir un référentiel du comportement dit "normal"
Contexte Actuel – "Data Breach Report"
Pourquoi est-ce si difficile à détecter ?
par l'intermédiaire d' outils
standards existants (OWA, etc..)
Par la suite, les...
Pourquoi est-ce si difficile à détecter ? Compromission Initiale
Détécter des Comportements Anormaux – Plan d’Actions
Ordinateurs: Serveurs sensibles, Contrôleurs
de domaine, Stations d’a...
8
Sur les contrôleurs de domaine:
Cet évènement est généré à
chaque demande d'accès à une
ressource (Ordinateur ou Service...
Indicate what groups are
“special” by listing them in a
custom registry key as a string
value, using group SID, Separate
g...
Détecter des Comptements Anormaux – Plan d’Actions
Activer "Global Object Access Auditing" sur les
serveurs sensibles pour...
“Global Object Access Auditing”
Useful for verifying that all
critical files, folders, and
registry settings on a
computer...
Event ID 4728
"Audit Security Group Management"
Un membre a été ajouté…
Action réalisée par
"NWTRADERSAdministrator"
Les p...
Un compte utilisateur est temporairement ajouté dans
le groupe "Domain Admins" pour résoudre un
dysfonctionnement AD puis ...
Détecter des Comptements Anormaux – Plan d’Actions
Applications habituellement utilisées,
Performance réseau habituelle, F...
Détecter des Comptements Anormaux – Plan d’Actions
Est-ce que ce serveur ou ce compte
d'administration est autorisé à être...
Détecter des Comportements Anormaux – Plan d’Actions
Quoi, un Event ID 1102 ???
Le journal d'évènements a été purgé!
La st...
Soyons créatifs: Mise en place d’un “Honeynet”?
Restreindre l’accès aux paramètres de
configuration d’audit
Rediriger les ...
A – Activer l’auditing sur le Honeynet – Applocker en mode Audit
Toute utilisation anormale d’outils est surveillée et enr...
20
Configurer un serveur de
collecte d'évènements
vers qui les évènements
"AppLocker" & "Autres
Alertes" seront redirigés
...
B – Attack Surface Analyser Outil Microsoft gratuit permettant d'identifier toute
augmentation de surface d'attaque due à ...
C – Activation de l’Audit Windows & Autres outils …
Détecter des comportemens anormaux... Des modifications inattendues (e...
Start
User or Machine
compromised
Honeynet
server Collector Server
Attacks Events ID
Forwarded
N'oubliez pas, une activité en baisse… est aussi suspecte qu'une activité en
hausse, par exemple:
 Diminution des remonté...
http://notes.mstechdays.fr
Faites le depuis
votre Windows
Phone!
Ou depuis votre
Hi Phone, APhone
(Andro Phone)…
Prêt pour le QCM habituel ?
http://notes.mstechdays.fr
Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !
Prochain SlideShare
Chargement dans…5
×

Sécurité Active Directory : détecter l’indétectable !

525 vues

Publié le

Ces dernières années l’Active Directory est devenu une source privilégiée pour les « Hackers ». Cette session a pour objectif de montrer par des exemples que la découverte d’une intrusion dans l’Active Directory est souvent fortuite ; mais qu’il existe une logique permettant de débusquer des activités suspectes. Cette démarche d’analyse et de surveillance pourrait permettre d’identifier une tentative de compromission dans le « Saint des Saints » avant qu’elle soit consommée.

Publié dans : Technologie
0 commentaire
2 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
525
Sur SlideShare
0
Issues des intégrations
0
Intégrations
2
Actions
Partages
0
Téléchargements
54
Commentaires
0
J’aime
2
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Sécurité Active Directory : détecter l’indétectable !

  1. 1. AMBIENT INTELLIGENCE tech days• 2015 #mstechdays techdays.microsoft.fr
  2. 2. Sécurité Active Directory: Détecter l’indétectable! Daniel Pasquier – PFE Security Lead France Jugoslav Stevic – PFE Identity & Security Microsoft France Donnez votre avis depuis votre smartphone sur : http://notes.mstechdays.fr
  3. 3. • Pourquoi est-il si difficile de détecter les attaques? - Etablir un référentiel du comportement dit "normal"
  4. 4. Contexte Actuel – "Data Breach Report"
  5. 5. Pourquoi est-ce si difficile à détecter ? par l'intermédiaire d' outils standards existants (OWA, etc..) Par la suite, les attaquants Tentent d’utiliser des identifiants légitimes pour se propager (vols de "credentials"…) Compromission initiale Débute toujours par une station de travail peu ou non surveillée… Les Attaquants ne laissent pas de trace évidente…  Utilisent les mêmes méthodes d’accès distant (RDP, etc...) que tous les Administrateurs légitimes  Utilisent parfois les outils standards ("Sysinternals", "built-in tools", etc...)  Aucune alerte détectée par "AV/AM"
  6. 6. Pourquoi est-ce si difficile à détecter ? Compromission Initiale
  7. 7. Détécter des Comportements Anormaux – Plan d’Actions Ordinateurs: Serveurs sensibles, Contrôleurs de domaine, Stations d’admin; Equipements… Personnes: Administrateurs, Helpdesk, VIP, comptes de services, tâches, & génériques… sur vos contrôleurs de domaine Activer l’audit "Audit Special Logon" Event 4964 créé lorsqu'un utilisateur appartient à un groupe spécial Top 10 des risques les plus élevés Top 10 des machines les plus critiques de votre organisation Activer la surveillance Identifier les Event ID les plus pertinents sur la base du Top 10 des risques et les appliquer sur le top 10 des équipements à surveiller Décider de ce qu’il faut surveiller En premier lieu, inventorier et protéger les équipements les plus critiques et jugés à haut risques
  8. 8. 8 Sur les contrôleurs de domaine: Cet évènement est généré à chaque demande d'accès à une ressource (Ordinateur ou Service) utilisant un ticket Kerberos (TGS) Le groupe "Protected Users" impose le protocle "Kerberos"! Qui a demandé l’accès? "Service Name" indique la ressource pour laquelle l’accès a été demandé "Client Address" indique l’adresse IP source où l’utilisateur s’est authentifié "Date and Time" de la demande de ticket "Kerberos Service request (TGS)"; Nom du contrôleur de domaine en charge de cette demande Event ID 4769 « Audit Kerberos Service Ticket Operations »
  9. 9. Indicate what groups are “special” by listing them in a custom registry key as a string value, using group SID, Separate groups by semi-colon (;) Identifie toute nouvelle authentification venant d'un utilisateur appartenant à un groupe de type "Special Groups" Event ID 4964 « Special Logon » Surveiller si la liste des "Special Groups" a été modifiée dans le registre Un script peut être exécuté afin de générer un rapport ou une alerte
  10. 10. Détecter des Comptements Anormaux – Plan d’Actions Activer "Global Object Access Auditing" sur les serveurs sensibles pour l'accès aux fichiers et registres (SACLS) Definir les évènements qui indiquent sans aucun doute possible une attaque et centraliser l’information! (suite) Identifier les "Event ID" les plus pertinents sur la base du Top 10 des risques et les appliquer sur le top 10 des équipements à surveiller Appartenance aux groupes privilégiés, Activer l'audit sur les Stockages Amovibles (USB,Disk..), Positionner un audit modéré afin de ne pas créer trop d'activité et de bruit! Un compte utilisateur est temporairement ajouté dans le groupe "Domain Admins" pour résoudre un dysfonctionnement "AD" puis retiré dès résolution :  Compte administrateur Orphelin & Éphémère avec la classe d’objet : "Dynamic User Object Class"!  Inspection d’une image "NTDS" ou d'une sauvegarde Active Directory afin d'obtenir les valeurs initiales des attributs
  11. 11. “Global Object Access Auditing” Useful for verifying that all critical files, folders, and registry settings on a computer are protected. Event ID 5145 « Audit Detailed File Share » L'utilisateur identifié a accédé au partage spécifié depuis l'adresse réseau source indiquée En utilisant les permissions d’accès "ReadData" Date & heure où le fichier a été accédé; nom du serveur hébergeant le fichier & type d’accès "success or failure" La valeur du "Reason for Access" est "ReadData" obtenu par l’appartenance au groupe "Built-in Administrators" group Combiner l’audit "Global Object Access Auditing" avec "Audit Detailed File Share"
  12. 12. Event ID 4728 "Audit Security Group Management" Un membre a été ajouté… Action réalisée par "NWTRADERSAdministrator" Les propriétés "SamAccountName" et "DN" de l’utilisateur ajouté dans le groupe de sécurité… Nom du groupe privilégié cible Date, heure à laquelle l’opération a été réalisée
  13. 13. Un compte utilisateur est temporairement ajouté dans le groupe "Domain Admins" pour résoudre un dysfonctionnement AD puis retiré dès résolution :  Compte administrateur Orphelin & Éphémère avec la classe d’objet : "Dynamic User Object Class"!  Inspection d’une image "NTDS" ou d'une sauvegarde Active Directory afin d'obtenir les valeurs initiales des attributs
  14. 14. Détecter des Comptements Anormaux – Plan d’Actions Applications habituellement utilisées, Performance réseau habituelle, Flux réseaux, Analyseur réseau, établir un référentiel Ces comptes sensibles peuvent collaborer qu'avec ces personnes sur ce projet top secret! 3 – Etablir un référentiel du comportement dit "normal" Identifier au moins les scénarios pour lesquels il n’y a pas d’ambiguité, dont on est sûr! Les comptes à haut privilèges ne peuvent s'authentifier que sur une liste de machines spécifiques : Station d'admin, DCs, serveurs : Localisation & Nb d'occurences Ces comptes privilégiés se connectent dans cette plage horaire uniquement et pour une durée définie Ces comptes privilégiés doivent uniquement accéder à une liste spécifiques de ressources (serveurs sensibles, contrôleur de domaine..) Les ressources très sensibles ne peuvent être accédées que par une liste d'utilisateurs et ordinateurs définis
  15. 15. Détecter des Comptements Anormaux – Plan d’Actions Est-ce que ce serveur ou ce compte d'administration est autorisé à être connecté à cette heure de la nuit ? 4 – Définir les seuils d’alertes d’une activité anormale Une activité anormale c’est... tout changement inexpliqué (en plus ou en moins) dans le rythme actuel Membres du groupe "Domain Admins" s'authentifiant sur des stations de travail Est-ce normal? Compte privilégié AD utilisé pour contacter un serveur applicatif (accès aux données sensibles, exfiltration, vols d'identifiants..) Compte à pouvoirs utilisé au même moment à des endroits différents Est-ce que ce gros volume de données est autorisé à transiter sur le réseau, de nuit et vers ce pays étranger?
  16. 16. Détecter des Comportements Anormaux – Plan d’Actions Quoi, un Event ID 1102 ??? Le journal d'évènements a été purgé! La stratégie de Sécurité a été modifiée! Ajout d’un compte utilisateur étrange dans le groupe "Domain Admins" ou tout autre groupe à haut privilèges ? Compte privilégié désactivé, compte fictif mais en cours d’utilisation? "Dynamic User Object" utilisé en tant qu’admin ? Connexions vers l’extérieur anormales, ports en écoute non souhaités ??? 4 – Définir les seuils d’alertes d’une activité anormale (suite) Une activité anormale c’est... tout changement inexpliqué (en plus ou en moins) dans le rythme actuel
  17. 17. Soyons créatifs: Mise en place d’un “Honeynet”? Restreindre l’accès aux paramètres de configuration d’audit Rediriger les évènements vers un point central à l'aide de "Event Subscription" Leurs seules activités consistera à alerter si quelqu'un essaye de s'y connecter (ping, logon..). Réaliser un paramétrage adéquate afin de vous affranchir de "Faux-positifs" Identifier une ou plusieurs machines que vous souhaitez utiliser en "Honeynet" Mettez les à jour selon vos processus normaux Autoriser les connexions entrantes (Logs Firewall), restreindre les connexions sortantes :  Limiter l’impact si le "Honeynet" est compromis  Masquer son rôle de serveur "Honeynet"
  18. 18. A – Activer l’auditing sur le Honeynet – Applocker en mode Audit Toute utilisation anormale d’outils est surveillée et enregistrée dans le journal des évènements Vérifier que le service "Application Identity" est démarré et en cours d'exécution Soyons créatifs: configurons un “Honeynet”… ex. Créer 2 jeux de règles :  "Règles concernant les exécutables" : Utilisées pour surveiller tous les exécutables sur le "Honeynet "  "Règles concernant les scripts" : Utilisées pour surveiller tous les scripts exécutés sur le "Honeynet" L'activité "AppLocker" est surveillée en consultant le journal des évènements et redirigée vers un point central
  19. 19. 20 Configurer un serveur de collecte d'évènements vers qui les évènements "AppLocker" & "Autres Alertes" seront redirigés et qui sera à même de les traiter...
  20. 20. B – Attack Surface Analyser Outil Microsoft gratuit permettant d'identifier toute augmentation de surface d'attaque due à l'installation d'applications… Un "scan" de la machine réalisé périodiquement permet d'identifier les différents outils & scripts installés par l'attaquant sur le "Honeynet" Soyons créatifs: configurons un “Honeynet”… ex.
  21. 21. C – Activation de l’Audit Windows & Autres outils … Détecter des comportemens anormaux... Des modifications inattendues (en + ou en -) Centralisation des évènements anormaux Déclenchement auto de scripts et analyse Soyons créatifs: configurons un “Honeynet”… e.x.
  22. 22. Start User or Machine compromised Honeynet server Collector Server Attacks Events ID Forwarded
  23. 23. N'oubliez pas, une activité en baisse… est aussi suspecte qu'une activité en hausse, par exemple:  Diminution des remontées d’alertes virales...  Arrêt soudain des attaques de type "Brute force" sur les mots de passe  Diminution drastique des alertes "Firewall" "They got in …" Merci à Pierre Audonnet pour ses excellents scripts Powershell ! https://gallery.technet.microsoft.com ANSSI: Recommandations de sécurité pour la mise en oeuvre d’un système de journalisation http://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/recommandations-et-guides/securite-du-poste-de-travail-et- des-serveurs/recommandations-de-securite-pour-la-mise-en-oeuvre-d-un-systeme-de.html Useful NSA's guide: “Spotting the Adversary with Windows Event log Monitoring” http://www.nsa.gov/ia/_files/app/Spotting_the_Adversary_with_Windows_Event_Log_Monitoring.pdf Conclusion & Questions
  24. 24. http://notes.mstechdays.fr Faites le depuis votre Windows Phone! Ou depuis votre Hi Phone, APhone (Andro Phone)…
  25. 25. Prêt pour le QCM habituel ? http://notes.mstechdays.fr

×