Une conférence proposée par Anne-Sophie Goeldner & Matthieu Masson
Pour gagner du temps dans l’exécution de leurs attaques, les adversaires utilisent des comptes valides depuis quelques années. Pour s’en emparer, ils exploitent notamment des mécanismes et des failles propres à l’AD. Une fois en possession d’identifiants compromis, leur objectif est toujours le même : réaliser des mouvements latéraux, obtenir plus de privilèges si nécessaire et compromettre un domaine pour en exfiltrer ses données.
Il est utopique de penser qu’on peut empêcher un adversaire avec des identifiants valides de s’introduire au sein d’un environnement. Et bien souvent, il est trop tard lorsqu’on arrive à détecter une attaque basée sur l’identité. Alors quelle approche adopter ? Nous pensons que la seule approche efficace consiste à entraver sa capacité à se déplacer latéralement dans l’environnement cible.
L’authentification sans mot de passe, la meilleure façon de se protéger !
Quelle approche préventive adopter pour empêcher les mouvements latéraux au sein de votre AD ?
1. 24 octobre 2023 - PARIS
5ème édition
@IdentityDays
#identitydays2023
2. QUELLE APPROCHE PREVENTIVE ADOPTER
POUR EMPECHER LES MOUVEMENTS
LATERAUX AU SEIN DE VOTRE AD ?
Matthieu - Masson
24 octobre 2023 - PARIS
Identity Days 2023
3. Matthieu Masson
Identity protection specialist EMEA - META
PHOTO
J’aide les équipes avant- vente généraliste de
crowdstrike sur des sujets liés a la sécurité des
identités.
• Introduction : l’identité, une cible privilégiée
• Mécanismes d’authentification d’Active Directory
• Exemples d’attaques exploitant ces mécanismes
• Quelles sont les approches à adopter face à ce type de
menaces?
AGENDA DE LA CONFÉRENCE
24 octobre 2023 - PARIS
Identity Days 2023
4. L’IDENTITE : UNE CIBLE PRIVILEGIEE
+583%
Augmentation du nombre d’attaques
Kerberoasting en 1 an*
25%
Of Des attaques démarrent sur
des machines non protégées **
71%
Des attaques sont malware
free*
*2023 Threat Hunting Report
Pourquoi l’identité est un vecteur d’attaque
privilégié :
• Contournement de l’EDR
• Attaques plus difficile à détecter
• Obtention facile de comptes valides (dark
web, social engineering)
• Gain de temps : breakout time moyen en
baisse constante (79 min)
80%
Des brèches exploitent des
identifiants compromis
6. Identity Days 2023
24 octobre 2023 - PARIS
Les 3 principales entités de Kerberos
•Utilisateur/client
•Centre de distribution de clé (KDC)
o Service d’authentification (AS)
o Ticket granting service (TGS)
•Application /Serveur
L’ AUTHENTIFICATION KERBEROS
7. KERBEROS : des jetons à durée
limitée
Identity Days 2023
24 octobre 2023 - PARIS
TGT
(Ticket Granting Ticket)
ST
(Service Ticket)
TGT (Ticket granting Ticket) :
• Durée de validité : 10H
• Durée limite renouvellement : 7 jours
• Chiffré avec le hash du compte KRBTGT*
(mot de passe complexe)
ST (Service ticket) :
• Durée de validité : 10H
• Durée limite de renouvellement : 7 jours
• Chiffré avec le hash du compte qui porte
le service (SPN)* (mot de passe
complexe et renouvelé
automatiquement tous les 30 jours)
KRBTGT : Il s’agit d’un compte built-in présent dans tout annuaire Active Directory, situé au niveau du chaque domaine et porté par les contrôleurs
de domaines. le hash du mot de passe du compte krbtgt est utilisé pour chiffré et signer les tickets Kerberos.
Service Principal name (SPN) : Un Service Principal Name (SPN) est un attribut de l’active directory dans lequel est renseigné un identifiant unique
permettant d’instancier un service. (ie http/www.websvr1.mycompany.com, sap/supplychain1.mycompany.com)
8. Identity Days 2023
24 octobre 2023 - PARIS
RAPPEL SUR LES TYPES DE
CHIFFREMENT KERBEROS
• DES_CBC_CRC
• DES_CBC_MD5
• RC4_HMAC_MD5
• AES128_HMAC_SHA1
• AES256_HMAC_SHA1
Support OS : jusqu’à Windows Server 2008 seulement
Obsolète
Support OS : Windows 2000 server et ultérieur
Peut être encore utilisé mais considéré comme faible /
exploité dans le cadre des attaques Kerberoasting/ASREP
Roast.
Support OS : Windows Vista et ultérieur
9. Identity Days 2023
24 octobre 2023 - PARIS
• la préauthentification
• La délégation kerberos non contrainte
• Les utilisateurs ayant des service principal name (SPN) définis
• « Account is sensitive and cannot be delegated »
LES CONFIGURATIONS KERBEROS
A SURVEILLER
10. Identity Days 2023
24 octobre 2023 - PARIS
1. Un utilisateur s’authentifie avec ses identifiants sur sa
machine (nom de domaine, d’utilisateur et mot de passe …).
2. La machine client envoie un message “Negociate” contenant,
entre autres, le nom du domaine, les fonctions supportées
par le client et le nom de la machine. [2]
3. Le serveur cible génère alors un message “Challenge”
composé notamment du “défi”, qui est un nombre aléatoire
et l’envoie à l’ordinateur client. [3]
4. La machine client répond par un message “Authenticate” et
envoie, entre autres, la « réponse », qui est le challenge
chiffré par le hash NT* du mot de passe du client. [4]
5. Le serveur envoie au Contrôleur de Domaine (DC)* le nom
d’utilisateur, le défi et la réponse via un message
“NETLOGON_NETWORK_INFO”. [5]
6. Le DC récupère le hash du mot de passe de l’utilisateur à
partir de sa base de données puis chiffre le “défi” et le
compare avec “la réponse”.
S’ils sont identiques, l’authentification est approuvée et
l’utilisateur peut accéder à la ressource. Le DC envoie alors un
message “NETLOGON_VALIDATION_SAM_INFO4” au serveur. [6]
2 versions : NTLMv1 (1993) & NTLMv2 (1998)
NTLM « New Technology Lan Manager » : protocole créé en 1993 pour
remplacer le protocole Lan Manager devenu trop vulnérable.
L’AUTHENTIFICATION NTLM
11. Identity Days 2023
24 octobre 2023 - PARIS
Principale différence entre les deux versions NTLM : l’algorithme utilisé pour chiffrer le
challenge
• DES pour Net-NTLMv1 : pas résistant aux attaques par brute force du fait notamment sa faible complexité et de la
petite taille de la clé utilisé (56 bits).
• HMAC-MD5 pour Net-NTLMv2 : plus résistant aux attaques par brute force que DES, car la clé est plus grande
(128 bits) mais reste vulnérable
NTLM est sensible aux attaques suivantes :
Ø Offline cracking password (challenge chiffré par le hash du password du client)
Ø Pass the hash
Ø NTLM relay
DIFFERENCE NTLM V1 VS
NTLM V2
13. Les techniques de « credential dumping »
Identity Days 2023
24 octobre 2023 - PARIS
Les techniques MITRE ATT&CK pour obtenir des identifiants :
• T1003.001 LSASS Memory
• T1003.002 Security Account Manager
• T1003.003 NTDS
• T1003.004 LSA Secrets
• T1003.005 Cached Domain Credentials
• T1003.006 DCSync
• Group Policy Preferences (GPP) in SYSVOL
• Credential Manager Store
14. AS-REP ROAST
Identity Days 2023
24 octobre 2023 - PARIS
• Si cette préauthentification est désactivée (en cochant l'attribut
DONT_REQ_PREAUTH dans un compte d'utilisateur), il est
possible d'envoyer un message KRB_AS_REQ sans spécifier son
mot de passe.
• Le KDC répondra par un message KRB_AS_REP, qui contiendra
des informations chiffrées avec la clé de l'utilisateur. Ce message
peut donc être utilisé pour déchiffrer le mot de passe de
l'utilisateur.
NB : Par defaut la réponse se fera en utilisant AES, mais il est tout a fait possible de forcer l’usage de l’algorithme de
chiffrement RC4, ce qui rendra le brute force offline beaucoup plus rapide.
• Comportement par défaut : la préauthentification est requise i.e pour obtenir un TGT, le client doit fournir l’authenticator (timestamp
chiffré avec le hash NTLM de son mot de passe) lors de sa demande KRB_AS_REQ qui sera déchiffré et et dont l’horodatage sera
analysé par le KDC. Si l’horodatage correspond au sien à 5min près, le KDC sait que le bon mot de passe a été utilisé et qu'une attaque
par rejeu est très improbable.
L’attaque AS-REP ROAST exploite une configuration propre à Kerberos (la préauthentification) et permet d’obtenir un mot
de passe en clair et de le réutiliser pour se déplacer latéralement.
15. Kerberoasting
Identity Days 2023
24 octobre 2023 - PARIS
$23= RC4
Lorsqu'un ticket de service est demandé, le contrôleur de domaine sélectionne le type de chiffrement du ticket en
fonction de l'attribut msDS-SupportedEncryptionTypes du compte associé au SPN demandé. il peut s'agir d'un objet
computer ou d'un compte de service utilisé pour héberger la ressource sur le réseau. Si l'attribut n'a pas de valeur
définie, le contrôleur de domaine cryptera le ticket avec RC4 pour assurer la compatibilité.
msDS-SupportedEncryptionTypes :
§ Compte machine : (RC4_HMAC_MD5 | AES128_CTS_HMAC_SHA1_96 | AES256_CTS_HMAC_SHA1_96)
§ Compte utilisateur : not Defined RC4
Il suffira simplement d’extraire le contenu du hash
chiffré avec RC4 pour être brute forcé offline.
Pour rappel RC4_HMAC est considéré comme faible.
Les utilisateurs du domaine peuvent demander des tickets de service kerberos pour toute entité ayant un Service Principal Names (SPN),
qui est normalement associé à des comptes d'ordinateur (par exemple, CIFS, HOST et HTTP, etc.). Un attaquant peut abuser de cette
possibilité en demandant un ticket de service pour un compte utilisateur spécifique dont le SPN est défini, et en brute forçant le ticket off
line.
16. Pass the Hash
Identity Days 2023
24 octobre 2023 - PARIS
• Principe du SSO : l'utilisateur entre son mot de passe une fois. Le
hachage NTLM est calculé, puis conservé en mémoire pour le reste
de la session afin de pouvoir le réutiliser pour les demandes
d'authentification ultérieures vers d’autres ressources du réseau.
• Inconvénient : les attaquants peuvent extraire ce hash de mot de
passe stocké en mémoire avec les outils appropriés.
NT Hash d’un autre compte utilisateur
qui a été extrait et réutilisé pour
l’impersonifier.
L’attaque PTH exploite le principe du SSO de Windows et permet d’extraire et d’utiliser les hash de mot de passe
d’utilisateurs stockés en mémoire (pas besoin du mot de passe en clair).
NT Hash en mémoire
17. Pass the ticket
Identity Days 2023
24 octobre 2023 - PARIS
• Il est possible d’extraire en mémoire un TGT ou ST,
cependant le TGT apportera plus de flexibilité par
rapport à l’utilisation du ST qui sera limité au service
associé.
• Les tickets ayant « @krbtgt » sont des TGTs
• Apres avoir extrait le ticket qui nous
intéresse, il est possible de le
« Passer » et donc d’impersonifier le
propriétaire de ce ticket et donc de
bénéficier de ses privilèges et accès
(Service Ticket)
Export TGT/ST
Tickets extraient sous forme de fichier, ici TGT
L’attaque Pass the Ticket s’appuie sur le SSO Windows et permet d’extraire un ticket Kerberos (TGT)
19. Approche préconisée
Identity Days 2023
Evaluer les risques et monitorer l’hygiène de l’AD en
continu
Détecter les menaces et avoir un outil d’investigation
facile à utiliser
Prévenir les attaques et stopper les mouvements
latéraux en temps réel grâce à un accès conditionnel
granulaire et des réponses automatisées
Approche unifiée de la sécurité des identités et des
endpoints pour gagner en efficacité opérationnelle et
améliorer sa protection
24 octobre 2023 - PARIS
20. Evaluer les risques
Identity Days 2023
24 octobre 2023 - PARIS
• Score de risque par
domaine/tenant
• Ensemble des risques
détectés par sévérité
• Evaluation du risque en
temps réel
• Visualisation des entités
impliquées pour chaque
risque
• Classification
automatiques des
comptes
• Chemin d’attaques
menant à l’obtention de
privilèges
21. Identity Days 2023
24 octobre 2023 - PARIS
Score de risque de
l’entité
Caractéristiques de
l’utilisateur :
• Privileges
• Groupes membres
• Password policy
• Service principal
name
• Email etc...
Endpoints & destination utilisés
Risque(s) de l’entité
Evaluer les risques
Activité :
• Localisation
inhabituelle
• Localisation
habituelle
• Services
consommés
22. Identity Days 2023
24 octobre 2023 - PARIS
Compte sensible au kerberoasting
• Classifié comme compte de
service.
• Dispose de privilèges
domain Admin.
• Score de risque élevé du fait
de ses privilèges
• SPN listé pour
remédiation/vérification si
nécessaires.
• Politique de mot de passe
faible. (faible complexité
probable)
• Changement de mot de
passe peu fréquent
Evaluer les risques
23. Identity Days 2023
24 octobre 2023 - PARIS
Monitorer l’hygiène en continu
Points de contrôle :
• Compte privilégiés
• Mot de passe compromis
• Compte inactif
• Compte de services
• Compte partagé sur
plusieurs machines..
• Compte avec SPN
• Compte sans
préauthentification
• Password not required
24. Identity Days 2023
24 octobre 2023 - PARIS
Monitorer l’hygiène en continu
• Obtenir facilement de la
visibilité sur des
activités/événements
spécifiques comme
l’utilisation de protocoles
obsolètes ou non chiffrés
Utilisation NTLM V1
Utilisation LDAP non
chiffré
25. Identity Days 2023
24 octobre 2023 - PARIS
Détecter les menaces
• Détecter en temps réel des attaques basées sur
l'identité ciblant les domaines AD (Mimikatz,
Nopac, PetitPotam, DC Sync, etc.)
• Identifier des anomalies comportementales
(utilisation abusive d'informations
d'identification valides)
• Avoir une chronologie complète des techniques
regroupées dans un incident unique
26. Identity Days 2023
24 octobre 2023 - PARIS
Détecter les menaces
La détection d’un Pass the Hash :
Détection donnant du contexte :
• Source/destination
• User (groupes membres, score de risque
• Outil utilisé (si connu)
• Un contexte enrichi par différentes
sources : EDR, Identity, Cloud…
27. Identity Days 2023
24 octobre 2023 - PARIS
Investiguer sur les menaces
Activité après attaque
Activité avant attaque
Attaque PTH
Analyse de la télémétrie :
• Donne du contexte
pour l’investigation.
• Informe sur l’activité
avant et après
l’attaque.
• Réduit le temps de
recherche et aide à
la résolution.
29. Identity Days 2023
24 octobre 2023 - PARIS
Règle d’accès conditionnel pour bloquer l’attaquant ayant usurpé l’identité d’un compte privilégié en
exigeant du MFA lors d’un accès vers un serveur critique.
• La règle définie bloque l’attaquant dans sa tentative
d’accès au contrôleur de domaine en imposant du
MFA pour valider l’accès.
• La non validation du MFA a levé également une
alerte.
Fréquence de vérification
ajustable pour limiter le MFA
fatigue
Bloquer les accès vers les
serveurs critiques
30. Identity Days 2023
24 octobre 2023 - PARIS
Règle d’accès conditionnel en cas de suspicion de mouvement latéral
• Dès la première détection d’un mouvement latéral de
type Pass the Hash ou Pass the Ticket. L’attaquant sera
ajouté à la « watchlist ».
• La seconde règle impose l’usage du MFA pour tout
compte présent dans la « watchlist » peu importe la
source ou la destination et le type d’accès.
• La combinaison des deux règles bloque la capacité de
l’attaquant à se déplacer librement au sein de
l’environnement
Stopper les mouvements latéraux
31. Identity Days 2023
24 octobre 2023 - PARIS
Une approche unifiée de la securité
des endpoints et des identités
L'utilisateur et le terminal compromis
sont tous deux ajoutés à une liste de
surveillance IDP en vue d'un traitement
supplémentaire (déclenchement d'un
défi MFA ou restriction de l'accès aux
applications sensibles, par exemple).
Un workflow permettant de combiner la détection EDR et celle d’une solution protégeant les identités :
L’approche combinée permet d’être
plus efficace dans la réponse
automatisée :
• Permettant à la fois de contenir
l’attaquant localement et de le
bloquer dans son usage d’identités
compromises.
32. Identity Days 2023
24 octobre 2023 - PARIS
Conclusion
Exploration et corrélation des menaces ciblant les identités et les
endpoints au sein d’une seule console de sécurité
Mise en oeuvre d’un accès conditionnel granulaire basé sur une
large palette de critères
Evaluation des risques en temps réel et monitoring de l’hygiène
en continu
Approche unifiée de la sécurité des identités et des endpoints
Mise en oeuvre d’une remédiation automatisée pour entraver les
mouvements latéraux et réduire le volume d’incidents
Auto-classification et évaluation des privileges de toutes
les identités
Détection des mouvements latéraux en temps réel