Merci à tous nos partenaires !
29 octobre 2020
@IdentityDays #identitydays2020

Les 5 étapes urgentes que chaque
CISO doit mettre en œuvre pour
sécuriser son Active Directory
Luc Delsalle – CTO & co-founder Alsid
29 octobre 2020
Identity Days 2020

Luc Delsalle
Avant de fonder Alsid, Luc a
passé 6 ans à l’ANSSI,
l’agence nationale française
en charge des questions de
cyberdéfense, où il a dirigé
plusieurs opérations de
réponse sur incident
d’échelle internationale
ainsi que de nombreuses
évaluations de sécurité
redteam.
• Pourquoi l’Active Directory est une cible
privilégiée des attaquants
• Séquence d’attaque classique visant une
organisation et son Active Directory
• Les 5 étapes du RSSI pour sécuriser son
Active Directory
• Comment Alsid peut protéger votre
organisation des malwares et attaques
visant l’Active Directory
• Questions / Réponses
AGENDA DE LA CONFÉRENCE
29 octobre 2020
Identity Days 2020

Pourquoi l’Active Directory est une
cible privilégiée des attaquants
Identity Days 2020
29 octobre 2020

L’Active Directory
Identity Days 2020
• Un élément d’importance vital pour le système
d’information de l’entreprise
• Présent dans la grande majorité des entreprises
• Il a déjà 20 ans …
24 octobre 2020

Les constats
Identity Days 2020
• Les pratiques d’exploitation et de configuration ont généralement peu évoluées
• Retour du terrain:
• - de 48 h : C’est le temps nécessaire à un pentesteur pour prendre la main sur un AD
• + de 100 jours : Le délais avant de s’apercevoir d’une compromission sur AD
• + de 90% : des audits menés révèlent un niveau faible de sécurité lié à AD
• Des vulnérabilités connues et des attaques sur AD de plus en plus nombreuses.
• … Via des outillages complets … (Mimikatz, Empire, Powersploit, JohnTheRipper,
bloodHound…)
• … et parfois même parfois totalement automatisé (RYUK)
24 octobre 2020

Séquence d’attaque classique visant
une organisation et son Active
Directory
Identity Days 2020
29 octobre 2020

Identity Days 2020
24 octobre 2020
MALWARE
INJECTION
PHISHING RECONN-
AISSANCE
CREDENTIAL
THEFT
EXPLOITATION PRIVILEGE
ESCALATION
PERSISTENCELATERAL
MOVEMENT
First part of the attack:
Target = Workstation
Second part of the attack:
Target = Active Directory
Third part of the attack:
Target = Active Directory + Business data
Targetedexternal
reconnaissance
or
Randomattacks
automatization
Fourth part of the attack:
[A] Data encryption & ransom asked
[B] Data theft & sold on the dark market
[A]
[B]
Active Directory kill chain

Les 5 étapes du RSSI pour sécuriser
son Active Directory
Identity Days 2020
29 octobre 2020

Identity Days 2020
24 octobre 2020
Etape 1:
Connaitre l’état actuel de son Active Directory
et évaluer son niveau de résilience

Identity Days 2020
24 octobre 2020
Ne pas se voiler la face
Tu vois un problème de
config sur notre AD ?
Non, non, tout est
absolument parfait !
• La plupart des designs Active Directory ont été réalisés il y a
plus de 10 ans, à une époque où les cryptovirus et le Tier-
Model Microsoft n’existaient pas vraiment
• La sécurité s’érode avec le temps, une photographie à un
instant T ou un pentest tous les trimestres ne permettent
pas d’évaluer les risques réels liés à Active Directory
• La sécurité Active Directory est en constante évolution
• Même avec des moyens restreints, il y a des « quick-wins »
à réaliser pour renforcer sa résilience Active Directory

Identity Days 2020
24 octobre 2020
Exemples de changement de paradigmes
autour de la sécurité Active Directory
Pass-the-hash
2000: Personne ne connait la faiblesse liée à la technique « pass-the-hash »
2005: On commence à voir dans quelques forums des interrogation sur le rejeux d’un hash qui serait « voler » - évidement, pas
uniquement en environnement Windows, les plateformes Unix et Linux ont un « problème » similaire
2011: Benjamin Delpy fournit la première version de Mimikatz
2012: Microsoft sort le document ‘Mitigating Pass-the-Hash Attacks and Other Credential Theft Techniques’ en version 1
2014: Microsoft sort le document ‘Mitigating Pass-the-Hash Attacks and Other Credential Theft Techniques’ en version 2
Attribut primaryGroupID
2000: Personne n’imagine l’attribut utilisateur primaryGroupID comme un problème de sécurité, il s’agit d’une fonction intégrée à AD pour
assurer un certain niveau de compatibilité avec UNIX et faciliter l’accès à l’annuaire pour l’ensemble des nouveaux comptes utilisateurs
2006: Certains forums mentionnent l’usage de cet attribut comme un moyen de masquer des actions nécessitant des privilèges en passant
sous le radar des requêtes LDAP (qui à l’époque étaient le moyen classique de vérifier certaines configurations AD)
2013: Certains ransomware embarquent cette technique pour devenir Domain admins (valeur 512)

Identity Days 2020
24 octobre 2020
Quelques Quick wins
• S’assurer des sauvegardes et du plan de restauration lié au service Active
Directory – Créer un lab dédié qui servira d’intégration
• Mettre à jour les contrôleurs de domaine vers Windows 2016 ou 2019
• Réduire drastiquement le nombre de comptes membres des groupes à pouvoir
(Domain admins, Enterprise admins, etc.)
• Vider le groupe Schema admins
• Changer deux fois le mot de passe du compte krbtgt
• Vérifier si certains comptes utilisateurs non privilégiés ont une valeur différente
de 513 dans l’attribut primaryGroupID
• Créer et appliquer une GPO qui désactive NTLMv1 et SMBv1 sur l’ensemble des
machines
• Vérifier si certains comptes de service ne possèdent pas la valeur de leur mot de
passe dans l’attribut Description ou autre attribut

Identity Days 2020
24 octobre 2020
Etape 2:
Visualiser et comprendre en temps réel les
mauvaises configurations au sein d’Active
Directory

Identity Days 2020
24 octobre 2020
Connaitre ses faiblesses
" le danger, ce n'est
pas ce que l'on ignore,
c'est ce que l'on tient
pour certain et qui ne
l'est pas "
Marc Twain

Identity Days 2020
24 octobre 2020
Pourquoi les mauvaises configurations AD
sont elles si importantes à surveiller ?
• Pour rappel, quel que soit le système (Active Directory ou autre chose) il n’y a
que deux moyens d’attaquer un système:
✓ Utiliser un faille de sécurité connue publiquement (CVE) ou non connue
(0-Day)
✓ Utiliser une mauvaise configuration du système
• La mise à jour vers les derniers OS et le patching régulier de vos contrôleurs de
domaine couvrira les failles connues – ok ce n’est pas « fancy » mais c’est
absolument nécessaire
• Vous devrez utiliser des solutions spécifiques de mise en conformité Active
Directory ou dédier deux ingénieurs spécialisés en sécurité AD à la surveillance
et correction des mauvaises configurations
• Quant aux failles 0-Day…

Identity Days 2020
24 octobre 2020
Pourquoi le temps réel est il si important ?
Ransomware example: RYUK
Key points:
✓ AV & EDR can be easily deactivated by the first part of the code
✓ Trickbot includes a specific piece of code to perform Active Directory domain reconnaissance
✓ Malwares can wait during hours/days/weeks/months until the AD misconfiguration occurs (=attack path)
Malicious documents
files (droppers)
distributed as
attachments through
phishing attacks
User is invited to open
the attachment, then
malicious code (1) is
run to download
additional code:
Trickbot or Emotet
Trojan.W97M.POWLOAD
TrojanSpy.Win32.TRICKBOT
Or
TrojanSpy.Win32.EMOTET
Dropper downloads
Trickbot (2) or Emotet
(2) to be used for:
▪ Stealing
credentials
▪ Active Directory
reconnaissance
Performs lateral
movement using Active
Directory:
▪ MS17-010
vulnerability (SMB
exploit)
▪ Networks shares
(compromised
accounts)
▪ PsExec, etc.
When the AD
misconfiguration
(=attack path) is
detected, the last part
of the code (3) is
downloaded and
deployed in the
organization
Upon execution, it
will perform its
encryption routine:
Local and shared
files becomes
encrypted and
ransom notes are
activated
Ransom.Win32.RYUK
Waiting for AD misconfiguration
TRICKBOT
DomainGrabber
AV & EDR deactivation
1 2 3
The DomainGrabber code is a specific
“tool” to perform the Active Directory
reconnaissance
1
2
2
3

Identity Days 2020
24 octobre 2020
Tweet du 2020/05/03 –
mimikatz s’execute avec
TrendMicro sur la machine
Simplement en changeant qq
entrées dans le code avant
compilation
1 seul EDR/AV
sur 60 détecte le
Payload dans le
fichier PDF
Ici SentinelOne
https://bit.ly/3deJGW2
Pourquoi le temps réel est il si important ?

Identity Days 2020
24 octobre 2020
Etape 3:
Implémenter le Tier-Model de Microsoft

Identity Days 2020
24 octobre 2020
Attaquer Active Directory via l’élévation de privilèges
1. Attaque sur les workstations (phishing, browser exploit,
PDF, Java)
2. Une workstation est compromise, l’attaquant utilisera
l’escala de privilèges pour récupérer les hashs de mots
de passe, les tickets Kerberos, les mots de passe des
comptes de service, etc.
3. L’attaquant utilise un compte pour réaliser le
mouvement latéral
4. L’attaquant accédera à un compte privilégié utilisé sur
une workstation ou un serveur membre (par exemple:
Domain Admins)
5. C’est fini…

Identity Days 2020
24 octobre 2020
Le modèles 3 tiers

Identity Days 2020
24 octobre 2020
Etape 4:
Gérer les comptes à pouvoir et deployer LAPS
sur les workstations

Identity Days 2020
24 octobre 2020
RSSI - CISO
J’adore être Superman,
je peux installer de quoi
j’ai besoin pour
travailler – Laisse moi
être Superman !System Admin
Power User
Pourquoi veux tu être
Superman alors que
tu as besoin d’être
uniquement Clark
Kent !
Attention à l’aspect psychologique !

Identity Days 2020
24 octobre 2020
Déployer LAPS, au moins sur les stations de W
Extension de
schéma pour
gérer les
attributs de
LAPS
Définir une GPO de
configuration et
l’appliquer sur les
stations de W (à
minima)
Interface de
gestion pour
retrouver le mot
de passe du
compte local
Administrator

Identity Days 2020
24 octobre 2020
Bénéfices de LAPS
• LAPS permet d’avoir un mot de passe local Administrateur différent sur
chaque station de travail (ou serveur membre)
• Le mot de passe d’administration sera utilisé uniquement par le service
Helpdesk ou IT
• LAPS permet une rotation du mot de passe et de définir une politique de mot
de passe complexe
• LAPS évite donc le mouvement latéral si une station de travail est compromise
et que la base SAM locale est compromise

Identity Days 2020
24 octobre 2020
Etape 5:
Intégrer votre sécurité Active Directory avec
vos briques de sécurité existantes – Le SIEM

Identity Days 2020
24 octobre 2020
En sécurité, l’intelligence collective est possible
• Si vous avez un SIEM, l’intégration des différentes briques de sécurité avec celui-ci est
un plus non-négligeable
• Votre équipe SOC connait son SIEM et sait s’en servir, ne rajoutez pas d’interface
supplémentaire sans nécessité
• Intégrez votre brique de sécurité Active Directory avec votre SIEM
• La brique de sécurité spécifique à Active Directory permettra d’éviter les faux positifs
et diminuera vos coûts de stockage côté SIEM
AD
Solution de
Sécurité Active
Directory
SIEM

Comment Alsid peut protéger
votre organisation des malwares et
attaques visant Active Directory
Identity Days 2020
29 octobre 2020

Identity Days 2020
24 octobre 2020

Identity Days 2020
24 octobre 2020

Identity Days 2020
24 octobre 2020

Identity Days 2020
24 octobre 2020

Identity Days 2020
24 octobre 2020

Identity Days 2020
24 octobre 2020

Identity Days 2020
24 octobre 2020
Preview: Alsid for AD DETECT
Q1 2021
Exemples
d’écrans,
soumis à
changement

Identity Days 2020
24 octobre 2020
Preview: Alsid for AD DETECT
Q1 2021
Exemples
d’écrans,
soumis à
changement

Identity Days 2020
24 octobre 2020
Pour aller plus loin…
www.alsid.com hello@alsid.com
Retrouvez
nous sur
notre stand
virtuel
pendant les
Identity Days
2020 et
posez toutes
vos
questions

Questions / réponses
Identity Days 2020
29 octobre 2020

Identity Days 2020
29 octobre 2020

Merci à tous nos partenaires ! @IdentityDays #identitydays2020