Notre méthodologie d'intrusion Active Directory

Un test d'intrusion interne en environnement Windows consiste à simuler les actions d'un attaquant ayant un accès au réseau de l'entreprise, cet accès peut être physique ou au travers d'un poste de travail infecté. Les objectifs de ce type de test sont multiples:

  1. Énumérer les vulnérabilités techniques affectant le périmètre et analyser leur impact
  2. Prendre le contrôle du domaine Active Directory
  3. Énumérer les méthodes de persistance d'accès distant et d'exfiltration de données vers internet
  4. Délivrer un plan d'action afin d'améliorer le niveau de sécurité

Voici quelques exemples de points vérifiés par nos auditeurs lors de ce type de prestation

Active Directory

  • Réseau
    • Écoute passive des demandes d'authentification
    • Attaques par MITM pour collecter des identifiants
    • Énumération et scan des serveurs intégrés dans le domaine
    • Récupération du contenu du partage SYSVOL et recherche d'informations dans les GPO et scripts
    • Recherche de partages de fichiers accessibles anonymement
  • Énumération de comptes
    • Rejeu d'identifiants provenant d'exposition sur internet de bases de données dérobées
    • Recherche d’identifiants dans les métadatas des fichiers publiés sur Internet
    • Collecte des groupes et utilisateurs de l'Active Directory à partir de comptes usurpés
    • Bruteforce de comptes de domaine et de comptes locaux de serveurs
  • Kerberos
    • Récupération de la liste des Service Principal Names
    • Tentative de déchiffrement des TGS et ASREP
    • Exploitation de délégation Kerberos dangereuses
  • Domaine
    • Identification des contrôleurs de domaine
    • Recherche de vulnérabilités sur les contrôleurs de domaine
    • Exploitation d'ACL dangereuses
    • Analyse des relations d'approbation

Serveurs et clients Windows

  • Mises à jour
    • Exploitation de l'absence de correctif sur le système
    • Exploitation de l'absence de correctif sur les logiciels installés
    • Recherche de vulnérabilités logicielles sur les services mis à disposition par les serveurs
  • Contournement des protections Microsoft
    • UAC
    • SRP
    • AppLocker
  • Comptes et mots de passe
    • Énumération des identifiants et bruteforce de comptes locaux
    • Récupération des comptes de services et de taches planifiées
    • Récupération des traces d'authentification dans la mémoire du processus LSASS
    • Collecte et cassage de mots de passe des comptes à privilèges
  • Divers
    • Récupération de données d’authentification au sein des scripts
    • Mise en échec de l'antivirus (arrêt forcé, ajout d'exception, etc.)
    • Insertion de support USB malveillant