Ce diaporama a bien été signalé.
Le téléchargement de votre SlideShare est en cours. ×

Récupération d’un Active Directory: comment repartir en confiance après une compromission

Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité

Consultez-les par la suite

1 sur 32 Publicité
Publicité

Plus De Contenu Connexe

Plus par Identity Days (20)

Plus récents (20)

Publicité

Récupération d’un Active Directory: comment repartir en confiance après une compromission

  1. 1. Merci à tous nos partenaires ! 27 octobre 2022 - PARIS @IdentityDays #identitydays2022
  2. 2. Récupération d’un Active Directory: comment repartir en confiance après une compromission Matthieu Trivier Director of EMEA Pre-Sales @ Semperis 27 octobre 2022 - PARIS IdentityDays 2022
  3. 3. Matthieu TRIVIER Director of EMEA Pre-Sales @ Semperis Depuis 15 ans, je discute Identité et Résilience et avec ceux qui veulent bien m’écouter… Mais aussisneakers et maison autonome, pour ceux qui préfèrentun sujetplus léger ☺ • Rappel de la session 2021 et contexte • Active Directory est à l’arrêt: pilule bleue ou pilule rouge? • Remonter une infrastructure AD de manière automatisée et simple, possible ? • Reprendre confiance dans l’identité, sujet crucial ! AGENDA DE LA CONFÉRENCE 27 octobre 2022 - PARIS IdentityDays 2022 A la mémoire de L.L., mentor et ami 23/08/1969 - 21/10/2022
  4. 4. Rappel de la session 2021 et contexte SEMPERIS.COM
  5. 5. SEMPERIS.COM
  6. 6. SEMPERIS.COM
  7. 7. SEMPERIS.COM
  8. 8. Active Directory est à l’arrêt: pilule bleue ou pilule rouge ? SEMPERIS.COM
  9. 9. SEMPERIS.COM
  10. 10. SEMPERIS.COM « Tu prends la pilule rouge: tu restes au Pays des Merveilles, et on descend avec le lapin blanc au fond du gouffre » >> Récupération et remédiation des compromissions « Choisis la pilule bleue et tout s’arrête. Après, tu pourras faire de beaux rêves et penser ce que tu veux. » >> Réinstallation d’un AD « neuf »
  11. 11. SEMPERIS.COM Avantages Inconvénients Récupération des objets Récupération des permissions Peu d’impact sur les utilisateurs (un reboot) Sûr de repartir avec un environnement sain Risque de réintroduction du malware Risque de backdoor Recréation de l’ensemble des objets (Quelqu’un a une liste ??) Réapplication du modèle de délégation (Qui a dit cartographie ??) Réinstallationde l’ensemble des postes (Qui a dit AutoPilot ??) Récupération Réinstallation
  12. 12. SEMPERIS.COM Deux problématiques sont à adresser L’infrastructure: • Besoin de « remettre en route » les services AD DS • Service d’annuaire • Service d’authentification • Service de temps • Résolutionde noms interne • Quid de l’intégrité des backups ? • Quid du SYSVOL sauvegardé ? → Nécessité d’accélérer une reprise sûre Le référentiel d’identité: • Ensemble des objets • Utilisateurs, Groupes, OUs, … • GPOs • Ensemble des autorisations • ACE, ACL, Audit, … • Quid des comptes compromis? • Quid des backdoors ? → Nécessité de reprendre confiance dansl’environnement
  13. 13. Remonter une infrastructure AD de manière automatisée et simple, possible ? SEMPERIS.COM
  14. 14. What Does it Take to Manually Perform a Forest Recovery? 1. Pull the network cables from all DCs or otherwise disable 2. Connect DCs to be restored to a private network (oh yes - establish a global private VLAN) For each domain, 3. Nonauthoritative restore of first writeable DC 4. Auth restore of SYSVOL on that DC 5. Look for malware, etc. Forensic analysis: is it safe to continue? 6. Reset all admin account passwords 7. Seize FSMOs 8. Metadata cleanup of all writeable DCs except for targeted seed forest DCs 9. Configure DNS on the forest root DC 10. Remove the global catalog from each DC. <Wait for GC to unhost…> 11. Delete DNS NS records of DCs that no longer exist 12. Delete DNS SRV records of DCs that no longer exist 13. Raise the RID pool by 100K 14. Invalidate the current RID pool 15. Reset the computer account of the root DC twice 16. Reset krbtgt account twice <seed forest at this point> 17. Configure Windows Time 18. Verify replication health 19. Add GC to a DC for each OS version in each domain <Wait for GCs to host…> 20. Take a backup of all DCs in the seed forest 21. Create an IFM package for each OS version, in each domain, your DCs are running 22. Build out seed forest with additional DCs to support Tier 0 / Tier 1 operations: For each DC to be repromoted into the seed forest, 23. Clean up the (former) DC using /FORCEREMOVAL or rebuild OS 24. Send IFM package to server <Wait> 25. Take the DC off the public network and put it on the seed forest network. 26. Run a DCPROMO IFM <Days pass…> <Large enough forest to support basic operations> 27. Verify health of the full forest 28. Move restored forest to the corporate network
  15. 15. • First Level • Second Level • Third Level • Fourth Level SEMPERIS.COM Récupération réduite de plusieurs jours à quelques heures Restauration Propre (sans malware) Récupération Rapide Automatisation Avancée Récupération sans lien avec le matériel Analyse post-attaque (anti-virus AD) + + + + +
  16. 16. What Does it Take to Manually Perform a Forest Recovery? 1. Pull the network cables from all DCs or otherwise disable 2. Connect DCs to be restored to a private network (oh yes - establish a global private VLAN) For each domain, 3. Nonauthoritative restore of first writeable DC 4. Auth restore of SYSVOL on that DC 5. Look for malware, etc. Forensic analysis: is it safe to continue? 6. Reset all admin account passwords 7. Seize FSMOs 8. Metadata cleanup of all writeable DCs except for targeted seed forest DCs 9. Configure DNS on the forest root DC 10. Remove the global catalog from each DC. <Wait for GC to unhost…> 11. Delete DNS NS records of DCs that no longer exist 12. Delete DNS SRV records of DCs that no longer exist 13. Raise the RID pool by 100K 14. Invalidate the current RID pool 15. Reset the computer account of the root DC twice 16. Reset krbtgt account twice <seed forest at this point> 17. Configure Windows Time 18. Verify replication health 19. Add GC to a DC for each OS version in each domain <Wait for GCs to host…> 20. Take a backup of all DCs in the seed forest 21. Create an IFM package for each OS version, in each domain, your DCs are running 22. Build out seed forest with additional DCs to support Tier 0 / Tier 1 operations: For each DC to be repromoted into the seed forest, 23. Clean up the (former) DC using /FORCEREMOVAL or rebuild OS 24. Send IFM package to server <Wait> 25. Take the DC off the public network and put it on the seed forest network. 26. Run a DCPROMO IFM <Days pass…> <Large enough forest to support basic operations> 27. Verify health of the full forest 28. Move restored forest to the corporate network Traditional AD Backup tool
  17. 17. 116 MB (500 MB uncompressed) Operating System 116 MB (500 MB uncompressed) 11 GB Operating system, other volumes 17.7 GB ADFR vs. other domain controller backups ADFR backups ✓ Contain no OS → no OS-resident malware in recovery ✓ Remove dependence on source hardware → recover anywhere ✓ Are significantly smaller ✓ Provide faster backup and recovery ✓ Require less storage ADFR Other Active Directory BootFile Active Directory BootFile Active Directory BootFile
  18. 18. Demo
  19. 19. SEMPERIS.COM Deux problématiques sont à adresser L’infrastructure: • Besoin de « remettre en route » les services AD DS • Service d’annuaire • Service d’authentification • Service de temps • Résolutionde noms interne • Quid de l’intégrité des backups ? • Quid du SYSVOL sauvegardé ? → Nécessité d’accélérer une reprise sûre Le référentiel d’identité: • Ensemble des objets • Utilisateurs, Groupes, OUs, … • GPOs • Ensemble des permissions • ACE, ACL, Audit, … • Quid des comptes compromis? • Quid des backdoors ? → Nécessité de reprendre confiance dansl’environnement
  20. 20. Reprendre confiance dans l’identité, sujet crucial ! SEMPERIS.COM
  21. 21. SEMPERIS.COM Quelques exemples de techniques utilisées: • SIDHistory • PrimaryGroupID • AdminSDHolder • ManagedBy • DNSAdmins abuse Le backdooring, deuxième risque majeur après la réinfection par un malware. Maisaussi : • Nested Groups • ACL/ACE Abuse • SYSVOL infection Problèmes de configurationunitaires aka « Indicateurs de compromission» Chemins d’attaquerésiduels
  22. 22. • “Tier 0” regroupe l’ensemble des composants qui gèrent les identitéset les privilèges (Contrôleurs de domaine, PKI, AAD Connect, …) • Le Tiering Model ne s’appliquepas uniquement aux données du domaine AD … mais également à tout les membres de ces ADs (serveurs, PCs, …) Source: Microsoft
  23. 23. Purple Knight • 100+ Indicateursd’Expositionet de Compromission pour AD et AAD • Pas d’installation (portable),pas de droits d’admin, lecture seule • Rapport PDF/HTML sur la posture de sécurité globale • Intégrationdes recommandationsde l’ANSSI SEMPERIS.COM Forest Druid • Approche novatrice pour faciliter le travaildes défenseurs • Visibilitésur les chemins d’attaquemenant au Tier 0 avec classificationpersonnalisablede la notion de Tier 0 • Export des objets et des relationpour faciliter la remédiation
  24. 24. Evaluez rapidement la sécurité d’un AD Indicateurs de sécurité pre- and post-attaque Modèles de menaces basés sur la communauté Plan de remédiation inclus Corrélation avec MITRE ATT&CK/D3FEND & ANSSI + + + +
  25. 25. Forest Druid • Solution pour analyser de manière interactive les risques de sécurité liées à AD en suivi une méthode « Inside- Out » • Extrêmement simple à configure et rapide pour collecter les bonnes données AD (permissions, relations entre les objets, …) • Focus sur les objets et les relations qui sont un risque pour le Tier 0 (DC, Admins du domaine, …). • Aide les admins AD à rapidement identifier les relations à risques qui pourraient permettre des attaques ➔ Permet aux admins de facilement identifier et protéger l’ensemble du périmètre privilégié de leur Active Directory!
  26. 26. SEMPERIS.COM L’approche “Inside-Out”
  27. 27. Demo
  28. 28. Forest Druid WebSite: https://www.purple-knight.com/forest-druid
  29. 29. SEMPERIS.COM Mission accomplie !
  30. 30. SEMPERIS.COM Deux problématiques sont à adresser L’infrastructure: • Besoin de « remettre en route » les services AD DS • Service d’annuaire • Service d’authentification • Service de temps • Résolutionde noms interne • Quid de l’intégrité des backups ? • Quid du SYSVOL sauvegardé ? → Nécessité d’éradiquer les malwares présents Le référentiel d’identité: • Ensemble des objets • Utilisateurs, Groupes, OUs, … • GPOs • Ensemble des permissions • ACE, ACL, Audit, … • Quid des comptes compromis? • Quid des backdoors ? → Nécessité de reprendre confiance dansl’environnement
  31. 31. IdentityDays 2022 27 octobre 2022 - PARIS Questions ? Merci de votre participation ! A la mémoire de L.L., mentor et ami 23/08/1969 - 21/10/2022
  32. 32. Merci à tous nos partenaires ! 27 octobre 2022 - PARIS @IdentityDays #identitydays2022

×