Active Directory : Persistance, Domination et Falsification Kerberos

Danger

Résumé Exécutif : les attaques de persistance et de domination représentent la phase finale d’une intrusion réseau. En exploitant les mécanismes de réplication d’Active Directory et du protocole Kerberos, un attaquant peut forger des preuves d’identité à volonté, contourner les Contrôleurs de Domaine et maintenir son accès pendant des années.

1. DCSync : abus de la réplication AD

DCSync n’est pas une vulnérabilité en soi, mais l’abus d’une fonctionnalité légitime. Un attaquant disposant de privilèges suffisants (Administrateur de Domaine ou équivalent) imite un Contrôleur de Domaine (DC) pour demander la réplication des hashes de mots de passe.

Mécanisme

En utilisant le protocole MS-DRSR (Directory Replication Service Remote), l’attaquant peut extraire le hash NTLM de n’importe quel compte, notamment celui du compte krbtgt, pierre angulaire des attaques Kerberos ultérieures.

Pistes d’investigation

• Niveau Réseau : surveiller le trafic de réplication provenant d’adresses IP n’appartenant pas à des DCs.
• Niveau Journaux : l’Événement ID 4662 sur un DC peut indiquer une tentative d’accès à des fins de réplication si les SACL (listes de contrôle d’accès système) appropriées sont configurées.

---

2. Golden Ticket : la falsification ultime du TGT

Un Golden Ticket est un Ticket Granting Ticket (TGT) Kerberos forgé. Pour le créer, l’attaquant a besoin du hash du compte krbtgt, obtenu via DCSync ou un dump de LSASS sur un DC.

Impact et Capacités

• Usurpation Totale : possibilité de forger un TGT pour n’importe quel utilisateur (incluant les Enterprise Admins).
• Persistance Durable : définition de durées de validité dépassant largement les limites par défaut (jusqu’à 10 ans).
• Invisibilité pour le DC : l’attaquant présente son TGT forgé directement aux serveurs membres sans solliciter le DC pour l’authentification initiale.

Attention

Stratégie de Détection : cette attaque est quasi invisible dans les logs d’authentification des DCs. La détection repose sur l’analyse de l’Événement ID 4769 (Demande de ticket de service). Cherchez des demandes basées sur un TGT n’ayant aucune trace correspondante dans les logs d’authentification initiale du DC.

Procédure de Remédiation

1. Identification : confirmer la compromission des Contrôleurs de Domaine.
2. Premier Reset krbtgt : changer le mot de passe du compte krbtgt. Cela invalide les TGT actuels tout en permettant une période de transition.
3. Second Reset krbtgt : attendre la réplication (généralement 24h) et réinitialiser le mot de passe une seconde fois. C’est cette étape qui invalide définitivement les Golden Tickets basés sur l’ancien hash.

---

3. Silver Ticket : falsification discrète du TGS

Un Silver Ticket est un Ticket de Service (TGS) forgé. Il cible un service spécifique sur un serveur précis (ex: CIFS sur un serveur de fichiers).

• Pré-requis : l’attaquant doit posséder le hash du mot de passe du compte de service cible.
• Défi Forensique : totalement invisible pour le DC. L’authentification se fait exclusivement entre l’attaquant et le serveur cible.
• Détection : chercher l’Événement ID 4624 (Connexion réussie) via Kerberos sur le serveur cible, sans qu’un événement 4769 correspondant ne soit enregistré sur les DCs.

---

4. Matrice de comparaison forensique

Type d’Attaque	Composant Ciblé	Niveau de Discrétion	Source de Preuve Clé
DCSync	Réplication AD	Moyen	IDS Réseau / DC Event 4662
Golden Ticket	TGT Kerberos	Élevé	Anomaly DC Event 4769
Silver Ticket	TGS Kerberos	Critique	Serveur Membre Event 4624

Journalisation Centralisée

Assurez-vous que les logs des serveurs membres sont envoyés vers un SIEM. Les Silver Tickets ne sont visibles que sur l’hôte cible.

Moindre Privilège

Limitez strictement les comptes disposant des droits de réplication pour empêcher l’exécution non autorisée de DCSync.

---

Références

• MITRE ATT&CK: Steal or Forge Kerberos Tickets (T1558)
• ANSSI : recommandations de sécurité relatives à Active Directory
• Voir aussi : Analyse du mouvement latéral Pass-the-Hash/Ticket