L’une des premières tâches de l’attaquant, lorsqu’il dispose d’un accès à un réseau d’entreprise, est la compromission de l’Active Directory. Pourquoi ne pas utiliser BTA pour rechercher des backdoors au sein de l'AD ? Les « mauvaises pratiques d'admins » découvertes donneront encore plus de sueurs froides aux équipes de réponse à incident :)
1. Introduction
Lorsqu'il est question de la sécurité du système d'information, les contrôleurs de domaine Active Directory sont, ou devraient être, au centre des préoccupations. En temps normal, pour s'assurer du respect des bonnes pratiques et lors d'une compromission avérée, pour explorer la possibilité d'un nettoyage du système d'information dans l’attente d’une reconstruction. En effet, l’attaquant aura peut-être laissé quelques portes dérobés au sein de l’Active Directory pour en garder le contrôle. Il est donc important de les identifier au même titre que les RAT pour être serein dans le nettoyage.
Nous présentons ici quelques points de contrôle sur l’Active Directory, sans être exhaustifs, pouvant être réalisés avec l’outil BTA [1]. L’analyse des résultats issus de ces points de contrôle pourra permettre d’identifier d’éventuelles modifications malveillantes dans un domaine.
Le conteneur Active Directory situé au niveau…
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première