Active Directory - Comment détecter une attaque DCSync ?

Mickael Dorigny - ITConnect - 01/10

Au sein d'un domaine Active Directory, comment détecter l’exploitation de DCSync ? Avec les logs Windows ou le trafic réseau, cette attaque est détectable.

Sommaire

I. Présentation
II. Détecter l’exploitation de DCSync via les journaux
- A. Les évènements générés par une attaque DCSync
- B. Visualisation d’une attaque DCSync dans un SIEM ELK
III. Détecter l’ajout des permissions DCSync via les journaux
IV. Détection de l’attaque DCSync via l’analyse réseau
V. Conclusion

I. Présentation

Dans cet article, nous allons nous intéresser aux possibilités de détection de l’exploitation de DCSync au sein d’un domaine Active Directory. Nous utiliserons pour cela les journaux d’évènements qui permettent de tracer et historiser l’activité des systèmes d’exploitation Windows et de l’Active Directory. De plus, nous effectuerons également l’analyse du trafic réseau qui permet d’identifier une attaque par DCSync avec plus de certitude.

Cet article est la seconde partie de l’article sur l’attaque DCSync et traite des possibilités de détection de cette attaque. Je vous invite au préalable à consulter la première partie qui expose ce qu’est l’attaque DCSync, son impact sur le domaine et évoque quelques moyens de remédiations :

Sécurité Active Directory : qu’est-ce que l’attaque DCSync ?

II. Détecter l’exploitation de DCSync via les journaux

A. Les évènements générés par une attaque DCSync

Il existe quelques stratégies d’audit et évènement relatifs aux tâches de réplication entre contrôleurs de domaine. Néanmoins, leur contenu et apparition ne sont pas suffisants pour affirmer qu’une attaque DCSync est en cours. Pour la plupart, ils ne contiennent aucune information sur l’objet source de la demande de réplication (voir Audit Directory Service Replication et Audit Detailed Directory Service Replication).

En conséquence, et contrairement à ce que l’on pourrait espérer, il n’y a pas d’évènement propre à la tâche de réplication du type "Event XXXX: l’IP X.X.X. a demandé une réplication". Auquel cas, il serait relativement simple de surveiller cet évènement et de lever l’alerte dès qu’une adresse IP n’étant pas l’un de nos DC demande une réplication.

Pour commencer à avoir des signaux intéressants concernant une potentielle attaque DCSync, nous devons dans un premier temps activer une stratégie d’audit spécifique au niveau des contrôleurs de domaine. Il faut alors se rendre dans la GPO qui s’applique aux contrôl...
[Courte citation de 8% de l'article original]

Tags : active directory - cybersécurité -

Source et Copyright images et textes : Mickael Dorigny - ITConnect
Lien original, consulter l'article dans son intégralité ici : https://www.it-connect.fr/active-directory-detecter-exploitation-attaque-dcsync-domaine/
Lien direct sur notre site : http://www.newsexplorer.fr/article/21590837/Active-Directory---Comment-d%C3%A9tecter-une-attaque-DCSync--
Partager : Facebook - Twitter

Avis de non-responsabilité pour les articles et les traductions :
Les articles publiés sur ce site ont été rédigés par des auteurs externes et ne représentent pas l'avis ou les opinions de ce site. Les informations contenues dans ces articles sont fournies à titre indicatif et ne doivent pas être considérées comme des conseils professionnels ou juridiques.
De plus, les traductions proposées sur ce site peuvent ne pas être exactes ou complètes. Nous ne pouvons garantir l'exactitude, la fiabilité ou la pertinence de ces traductions et nous déclinons toute responsabilité pour toute perte ou préjudice causé par leur utilisation.
Nous recommandons à nos lecteurs de vérifier toutes les informations avant de prendre des décisions ou d'entreprendre des actions en se basant sur ces articles ou traductions. Nous ne serons pas tenus responsables des erreurs ou des omissions dans les informations fournies sur ce site.