Contenu de détection pour aborder les techniques des attaquants couvertes dans la recherche « Domaine des Trônes : Partie I »

[post-views]
octobre 26, 2023 · 6 min de lecture
Contenu de détection pour aborder les techniques des attaquants couvertes dans la recherche « Domaine des Trônes : Partie I »

Les forces offensives cherchent continuellement de nouveaux moyens d’accéder à l’environnement de domaine et de maintenir leur présence en exploitant divers vecteurs d’attaque et en expérimentant divers outils et techniques d’adversaire. Par exemple, ils peuvent profiter des failles de sécurité révélées comme dans le cas des tentatives d’adversaire d’ exploiter la vulnérabilité dans Windows AD de Microsoft à la mi-printemps 2023, conduisant à de potentielles attaques par élévation de privilèges.

Cet article basé sur la recherche de Nico Shyne et Josh Prager fournit des informations sur les TTP des attaquants utilisés pour obtenir et maintenir l’accès dans un environnement de domaine, tels que le vol de justificatifs sur le contrôleur de domaine, la synchronisation des configurations d’Active Directory (AD), la manipulation du protocole d’authentification Kerberos, et l’exploitation des certificats. Pour aider les défenseurs à contrer ces attaques, nous partageons avec nos pairs de l’industrie une liste de contenus de détection pertinents depuis la plateforme SOC Prime.

Détection des TTP Adverses Décrits dans la Série « Domaine des Trônes : Partie I »

Les adversaires cherchent constamment de nouvelles façons de s’infiltrer discrètement et de maintenir leur persistance à l’intérieur du réseau organisationnel. Avec la persistance du domaine se démarquant comme une cible de choix, les acteurs de la menace utilisent plusieurs techniques d’abus de Kerberos pour atteindre des objectifs malveillants. Les cyber-défenseurs doivent garder un œil attentif sur les méthodes d’attaque en évolution pour identifier et prévenir de manière proactive les intrusions dès les premiers stades.

Pour aider les professionnels de la sécurité à rester informés des attaques de persistance de domaine, la plateforme SOC Prime propose un ensemble dédié de règles de détection s’adressant spécifiquement aux principales techniques d’attaque, telles que le vol de justificatifs sur les contrôleurs de domaine, les manipulations du protocole Kerberos ou les abus d’Active Directory.

Toutes les détections sont compatibles avec 28 solutions SIEM, EDR, XDR, et Data Lake et sont mappées au cadre MITRE ATT&CK pour rationaliser l’investigation des menaces et réduire le temps consacré à la traduction des requêtes multi-plateformes. De plus, chaque élément de détection est accompagné de métadonnées étendues, y compris des liens CTI, des références ATT&CK, des configurations de l’audit, un contexte de faux-positifs, et des recommandations de triage disponibles via Uncoder AI.

Appuyez sur le Bouton Explore Detections ci-dessous et explorez un ensemble de règles Sigma sélectionnées pour rationaliser vos opérations de chasse aux menaces.

Bouton Explore Detections

« Domaine des Trônes : Partie I » Vue d’Ensemble des Techniques des Attaquants

Avec des attaquants cherchant continuellement des moyens d’accéder et de maintenir la persistance dans l’environnement de domaine ciblé, les défenseurs se concentrent principalement sur les moyens d’accès initiales de l’adversaire. Cependant, ils peuvent négliger l’état post-violation du domaine qui nécessite des mesures de remédiation immédiates. En raison d’un nombre croissant d’opérations offensives compromettant les environnements de domaine, les défenseurs sont préoccupés par les moyens de reprendre le contrôle du domaine impacté, de restaurer la confiance et de s’assurer que l’efficacité opérationnelle reste intacte.

Plusieurs collectifs de piratage soutenus par des nations comme FIN6, NICKEL, ou Emissary Panda aussi connu sous le nom APT27 ont jeté leur dévolu sur les actifs critiques d’Active Directory, comme le fichier NTDS.dit, le compte de service KRBTGT, ou les certificats AD, obtenant un accès initial via l’hameçonnage ou l’exploitation de vulnérabilités. Ils appliquent normalement à la fois des outils standard et personnalisés pour accéder au domaine en utilisant des privilèges élevés. Après avoir confirmé une violation, l’attention des défenseurs devrait se concentrer sur le blocage de l’accès et la rotation des secrets de domaine pour prévenir de nouveaux compromis tandis que les ingénieurs de détection sont censés prioriser l’identification des signes de persistance de domaine.

Les adversaires sont équipés d’un large éventail de techniques de persistance de domaine pour compromettre l’environnement ciblé. Par exemple, les attaquants avec des niveaux d’accès admin peuvent s’engager dans le vol de justificatifs en utilisant des applications pour accéder au processus LSASS.exe. En utilisant ces justificatifs obtenus illicitement, les acteurs de la menace peuvent modifier leur contexte d’exécution, leur permettant d’accéder à des ressources critiques et d’effectuer des actions pouvant sérieusement affecter la continuité opérationnelle de l’entreprise. Par exemple, ils peuvent utiliser les LOLbinsnatifs de Windows, tels que le Gestionnaire des tâches pour accéder à LSASS.exe avec les permissions requises et lire ensuite la mémoire virtuelle de ce processus. Les hackers peuvent aussi cibler le fichier NTDS.dit des organisations dans le but d’obtenir l’accès ou de dupliquer le fichier de base de données dans un effort pour collecter les justificatifs requis.

Les acteurs malveillants peuvent également exploiter la technique du golden ticket via la manipulation du protocole Kerberos pour contourner la détection et maintenir la persistance dans l’environnement de domaine compromis. Le protocole d’authentification Kerberos repose sur des demandes de tickets et des concessions pour vérifier les utilisateurs pour des ressources à distance. Le mot de passe du compte de service KRBTGT crée une clé cryptographique, utilisée par le KDC pour signer et chiffrer les tickets de concession de tickets (TGT) présentés pour accéder aux ressources à distance. Les attaquants peuvent ensuite appliquer ce faux TGT pour s’authentifier. En alternative, ils peuvent exploiter la technique du diamond ticket en ayant la possibilité de manipuler un TGT légitimement émis depuis le contrôleur de domaine, plutôt que de créer le leur. Quant aux techniques d’abus de certificat, les hackers peuvent obtenir les clés privées de l’Autorité de Certification (CA) et produire des certificats frauduleux signés en utilisant la clé volée.

Les attaques de persistance de domaine et les techniques adverses associées évoluent de manière continue, incitant les défenseurs à rester à l’affût des nouvelles tendances offensives tout en se tenant au courant des outils et solutions qui renforcent les capacités de défense cybernétique au sein du domaine. Profitez au maximum du Marketplace SOC Prime de Détection des Menaces pour toujours garder une longueur d’avance et défendre proactivement l’environnement de domaine de votre organisation avec le contenu de détection sélectionné, enrichi de métadonnées exploitables et continuellement mis à jour.

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.

Articles connexes