Pourquoi l'Active Directory est la cible prioritaire
L'Active Directory centralise l'authentification, les autorisations et la gestion de configuration de l'ensemble des systèmes Windows d'une organisation. Un attaquant qui obtient les droits Domain Admin contrôle l'intégralité du SI, avec un accès à toutes les machines, tous les fichiers partagés, et la possibilité de créer des backdoors persistantes indétectables.
Selon le CERT-FR, plus de 70% des incidents majeurs traités en France impliquent une compromission de l'Active Directory à un stade ou un autre de la chaîne d'attaque.
Les 10 techniques d'attaque AD à connaître
| # | Technique | MITRE ATT&CK | Event IDs clés |
|---|---|---|---|
| 1 | Password Spraying | T1110.003 | 4625 (nombreux échecs, comptes différents) |
| 2 | Kerberoasting | T1558.003 | 4769 (RC4 encryption type, volume anormal) |
| 3 | AS-REP Roasting | T1558.004 | 4768 (préauthentification désactivée) |
| 4 | Pass-the-Hash | T1550.002 | 4648, 4624 (type 3, source inhabituelle) |
| 5 | Pass-the-Ticket | T1550.003 | 4648, Sysmon EID 10 (LSASS access) |
| 6 | DCSync | T1003.006 | 4929 (réplication AD depuis compte non-DC) |
| 7 | Golden Ticket | T1558.001 | 4769 (tickets Kerberos avec durée anormale) |
| 8 | BloodHound / AD Recon | T1087.002 | Sysmon EID 1 (SharpHound), 4662 (LDAP) |
| 9 | Delegation Abuse | T1134.001 | 4738 (modification compte), 4769 |
| 10 | AdminSDHolder Abuse | T1078.002 | 4728, 4732 (ajout groupe sensible) |
Focus, détecter le Kerberoasting
Le Kerberoasting est l'une des techniques les plus silencieuses. L'attaquant demande des tickets Kerberos (TGS) pour des comptes de service qui ont un SPN, puis casse les hashes offline sans générer d'alerte sur les systèmes cibles.
Signal de détection un volume anormal de requêtes TGS (Event ID 4769) avec le type de chiffrement RC4 (0x17) depuis un seul compte en peu de temps. La règle Splunk suivante permet de détecter ce comportement
Focus, détecter le DCSync
DCSync permet à un attaquant ayant les droits de réplication AD de demander les hashes NTLM de tous les comptes, y compris krbtgt. C'est l'une des étapes finales avant la création d'un Golden Ticket.
Cet événement est généré sur le DC à chaque opération de réplication. En conditions normales, il provient uniquement d'autres DCs. Toute occurrence depuis un poste de travail ou serveur non-DC est une anomalie critique à investiguer immédiatement.
Hardening AD, les mesures fondamentales
La détection est essentielle, mais la prévention réduit drastiquement la surface d'attaque
- Tier model AD, séparer les comptes Tier 0 (DC, PKI), Tier 1 (serveurs) et Tier 2 (postes) avec des politiques d'authentification strictes
- Protected Users group, ajouter tous les comptes à privilèges, désactive RC4 et NTLM pour ces comptes
- LAPS (Local Administrator Password Solution), randomiser les mots de passe administrateur local pour éviter le lateral movement
- Credential Guard, activer sur tous les systèmes Windows 10/11, protège LSASS contre les attaques Pass-the-Hash
- Audit des SPNs, recenser et supprimer les comptes de service avec des SPNs inutiles, utiliser des gMSA plutôt que des comptes de service classiques
- Privileged Access Workstation (PAW), dédiées aux administrateurs AD, jamais utilisées pour la navigation web ou la messagerie
Audit Active Directory & détection SIEM
ONYX-CYBER réalise des audits AD complets et configure les règles de détection dans votre SIEM pour couvrir ces 10 vecteurs d'attaque.
Demander un audit AD