Protection LSASS
L’activation de PPL (Protected Process Light) pour LSASS peut freiner considérablement les tentatives de dump mémoire.
Active Directory : Mouvement Latéral par Pass-the-Hash et Pass-the-Ticket
1. Pass-the-Hash (PtH) : exploiter NTLM
Section intitulée « 1. Pass-the-Hash (PtH) : exploiter NTLM »Le Pass-the-Hash est la technique la plus répandue ciblant le protocole NTLM. Puisque le protocole ne requiert pas le mot de passe en clair mais seulement son hash pour prouver l’identité, un attaquant qui récupère ce hash peut usurper l’identité de l’utilisateur.
La faille logique
Section intitulée « La faille logique »NTLM repose sur un mécanisme de défi-réponse. Le système demande uniquement le résultat d’un calcul effectué avec le hash. En fournissant directement le hash, l’attaquant court-circuite le besoin de connaître le mot de passe original.
Déroulement Typique
Section intitulée « Déroulement Typique »- Compromission Initiale : l’attaquant obtient un accès administrateur sur une première machine (ex: le poste de travail d’un utilisateur).
- Extraction des Secrets : utilisation d’outils comme Mimikatz pour dumper la mémoire du processus LSASS, qui contient les hashes NTLM des sessions actives.
- Usurpation : l’attaquant identifie le hash d’un utilisateur privilégié et l’utilise pour s’authentifier sur des serveurs critiques ou des Contrôleurs de Domaine.
2. Pass-the-Ticket (PtT) : abus de Kerberos
Section intitulée « 2. Pass-the-Ticket (PtT) : abus de Kerberos »Dans les environnements modernes où Kerberos est privilégié, les attaquants utilisent le Pass-the-Ticket. Au lieu d’un hash, ils dérobent un Ticket Kerberos (TGT ou Ticket de Service).
La Faille logique
Section intitulée « La Faille logique »Les tickets Kerberos constituent la preuve ultime de l’identité. Si un attaquant possède un ticket valide appartenant à un autre utilisateur, le système le considère comme tel pour toute la durée de validité du ticket.
Pistes d’investigation
Section intitulée « Pistes d’investigation »La détection du PtT est notoirement difficile car le trafic Kerberos généré semble parfaitement légitime. L’analyse doit se concentrer sur :
- Analyse du terminal : recherche de traces d’outils comme Mimikatz ou Rubeus en mémoire ou sur disque.
- Injection de processus : surveillance des accès suspects à la mémoire du processus LSASS via des solutions EDR.
- Comportements anormaux : détection d’utilisateurs standards accédant de manière inhabituelle à des ressources d’administration.
3. Valeur forensique et stratégie de détection
Section intitulée « 3. Valeur forensique et stratégie de détection »L’identification du “Patient Zéro” est cruciale. C’est sur la première machine compromise que les clés du royaume ont été dérobées.
Corrélation des Journaux
Section intitulée « Corrélation des Journaux »| ID d’Événement | Description | Importance Forensique |
|---|---|---|
| 4624 | Connexion réussie | Chercher le Type de connexion 3 (Réseau) via NTLM sur le serveur cible. |
| 4672 | Privilèges spéciaux attribués | Indique que la session a été ouverte avec des droits d’administration. |
| 4768 / 4769 | Ticket Kerberos TGT/Service | Essentiel pour tracer le flux des tickets dans le domaine. |
Modèle d'Administration Tiered
Séparer les comptes d’administration des postes de travail standards limite l’exposition des hashes à hauts privilèges.
Références
Section intitulée « Références »- Microsoft: Protection contre les attaques Pass-the-Hash (PtH)
- MITRE ATT&CK: Lateral Movement (TA0008)
- Voir aussi : Analyse forensique des Shellbags (pour tracer les accès aux dossiers lors du mouvement latéral).