Pourquoi l'Active Directory est la cible prioritaire

L'Active Directory centralise l'authentification, les autorisations et la gestion de configuration de l'ensemble des systèmes Windows d'une organisation. Un attaquant qui obtient les droits Domain Admin contrôle l'intégralité du SI, avec un accès à toutes les machines, tous les fichiers partagés, et la possibilité de créer des backdoors persistantes indétectables.

Selon le CERT-FR, plus de 70% des incidents majeurs traités en France impliquent une compromission de l'Active Directory à un stade ou un autre de la chaîne d'attaque.

Les 10 techniques d'attaque AD à connaître

#TechniqueMITRE ATT&CKEvent IDs clés
1Password SprayingT1110.0034625 (nombreux échecs, comptes différents)
2KerberoastingT1558.0034769 (RC4 encryption type, volume anormal)
3AS-REP RoastingT1558.0044768 (préauthentification désactivée)
4Pass-the-HashT1550.0024648, 4624 (type 3, source inhabituelle)
5Pass-the-TicketT1550.0034648, Sysmon EID 10 (LSASS access)
6DCSyncT1003.0064929 (réplication AD depuis compte non-DC)
7Golden TicketT1558.0014769 (tickets Kerberos avec durée anormale)
8BloodHound / AD ReconT1087.002Sysmon EID 1 (SharpHound), 4662 (LDAP)
9Delegation AbuseT1134.0014738 (modification compte), 4769
10AdminSDHolder AbuseT1078.0024728, 4732 (ajout groupe sensible)

Focus, détecter le Kerberoasting

Le Kerberoasting est l'une des techniques les plus silencieuses. L'attaquant demande des tickets Kerberos (TGS) pour des comptes de service qui ont un SPN, puis casse les hashes offline sans générer d'alerte sur les systèmes cibles.

Signal de détection un volume anormal de requêtes TGS (Event ID 4769) avec le type de chiffrement RC4 (0x17) depuis un seul compte en peu de temps. La règle Splunk suivante permet de détecter ce comportement

| Règle Splunk — Détection Kerberoasting index=windows EventCode=4769 TicketEncryptionType=0x17 ServiceName!=krbtgt ServiceName!="*$" | stats count by Account_Name, ServiceName, IpAddress | where count > 5 | sort -count

Focus, détecter le DCSync

DCSync permet à un attaquant ayant les droits de réplication AD de demander les hashes NTLM de tous les comptes, y compris krbtgt. C'est l'une des étapes finales avant la création d'un Golden Ticket.

🔍 Event ID 4929 — Réplication AD

Cet événement est généré sur le DC à chaque opération de réplication. En conditions normales, il provient uniquement d'autres DCs. Toute occurrence depuis un poste de travail ou serveur non-DC est une anomalie critique à investiguer immédiatement.

| Règle Splunk — Détection DCSync index=windows EventCode=4929 | eval is_dc = if(match(SubjectDomainName,".*DC.*"), "yes", "no") | where is_dc="no" | table _time, SubjectUserName, SubjectLogonId, IpAddress

Hardening AD, les mesures fondamentales

La détection est essentielle, mais la prévention réduit drastiquement la surface d'attaque

  • Tier model AD, séparer les comptes Tier 0 (DC, PKI), Tier 1 (serveurs) et Tier 2 (postes) avec des politiques d'authentification strictes
  • Protected Users group, ajouter tous les comptes à privilèges, désactive RC4 et NTLM pour ces comptes
  • LAPS (Local Administrator Password Solution), randomiser les mots de passe administrateur local pour éviter le lateral movement
  • Credential Guard, activer sur tous les systèmes Windows 10/11, protège LSASS contre les attaques Pass-the-Hash
  • Audit des SPNs, recenser et supprimer les comptes de service avec des SPNs inutiles, utiliser des gMSA plutôt que des comptes de service classiques
  • Privileged Access Workstation (PAW), dédiées aux administrateurs AD, jamais utilisées pour la navigation web ou la messagerie

Audit Active Directory & détection SIEM

ONYX-CYBER réalise des audits AD complets et configure les règles de détection dans votre SIEM pour couvrir ces 10 vecteurs d'attaque.

Demander un audit AD