Scribd Logo
Importer

Bienvenue sur Scribd !

  • 106 vues

    Webinar NETWRIX AD-ATTACK Etape1

    Transféré par

    parfait7fortun77n7do

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd

    Webinar NETWRIX AD-ATTACK Etape1

    Transféré par

    parfait7fortun77n7do
    106 vues28 pages

    Titre original

    Webinar_NETWRIX_AD-ATTACK_Etape1

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    106 vues28 pages

    Webinar NETWRIX AD-ATTACK Etape1

    Transféré par

    parfait7fortun77n7do

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    sur 28

    Série de webinaires

    Attaquer Active Directory


    pas à pas par la démonstration :

    Etape 1 – Comment prendre possession d’une


    workstation et commencer l’attaque
    Sylvain Cortes
    Architecte Expert IAM &
    CyberSecurity
    Enseignant à l’ESGI, au CNAM Thomas Limpens
    et à l’Université de Grenoble Ingénieur Avant-vente, Netwrix
    @sylvaincortes
    [email protected]
    Comment poser des questions
     Tous les participants sont en mode muet.

     N’hésitez pas à poser vos questions

     Nous répondrons aux questions au cours


    du webinaire, ou à la fin lors de la session Posez votre
    de questions-réponses. question ici

     Vous recevrez les diapositives et Cliquez sur


    « Send »
    l’enregistrement du webinaire dans un e-
    (Envoyer)
    mail ultérieur.

     Le webinaire dure environ 50-60 minutes.


    Agenda
     Biographie de Sylvain Cortes
     Objectifs du webinar
     Pourquoi protéger Active Directory ?
     Red Team, Blue Team & Purple Team
     Les différentes phases d’une attaque
     MITRE ATT&CK
     Obtenir un compte utilisateur
     Devenir Administrateur local de la machine
     Conclusion
    Biographie

    Sylvain Cortes Depuis 12 ans  Gestion des identités

     GPOs  Active Directory Hardening


    Architecte Expert IAM & CyberSecurity
    Enseignant à l’ESGI, au CNAM  Active Directory  Microsoft Identity Manager
    et à l’Université de Grenoble  Microsoft Identity Manager  CyberSecurity des OS

     Enterprise Mobility (IDA)  Gestion des privilèges


    @sylvaincortes
    Mon blog: www.identitycosmos.com  Identité dans le Cloud
    [email protected]
    Objectifs du webinar

     Expliquer et démontrer comment une attaque se réalise sur un annuaire Active Directory

     Fournir les pistes pour vous mettre dans une posture de Red Team afin d’élaborer un plan
    technique de Blue Team

     Vous fournir les pistes pour aller plus loin par vous-même

     Vous fournir le minimum vital

     Nous ne pouvons pas couvrir l’ensemble des éléments, il nous faudrait plusieurs jours de
    formation
    Pourquoi protéger Active Directory ?

    Active Directory est au centre de tout et contrôle énormément d’éléments de votre infrastructure
    Pourquoi protéger Active Directory ?

    BNP Paribas, Verallia, Auchan,


    SNCF, etc...
    Pourquoi protéger Active Directory ?

    Compromettre Active
    Directory, c’est
    compromettre la bonne
    marche voir la survie de
    votre organisation, quelle
    que soit son activité…

    Merck, Rosnef, etc...


    Red Team, Blue Team & Purple Team

    Insider
    Threats Privileged Lateral Data
    Escalation Movement Breach
    External Threats

    Purple

    Red Team Blue Team


    Les différentes phases d’une attaque

    Etape 2: Explorer
    Objectif du webinar #2
    le réseau et
    Active Directory Network or cloud Perimeter

    Insider
    Threats Privileged Lateral Data
    Escalation Movement Breach
    External Threats
    1 3
    Etape 1:
    Attaquer sur la
    Etape 3:
    workstation et
    Objectif du webinar #1 Contrôler Active
    devenir
    Directory
    administrateur
    local Objectif du webinar #3
    MITRE ATT&CK – attack.mitre.org

    Une bonne approche


    pragmatique pour découvrir
    les types d’attaque et
    commencer à se
    documenter sur la partie
    technique.
    Environnement de démonstration

    ADMIN Administrateurs
    du domaine
    Windows2019 [AD] Windows2020 [AD] ADMIN

    HelpDesk
    ADMIN

    win2016US01 NETWRIXSRV ADMIN

    Utilisateurs du
    REGULAR domaine
    USER
    WINCLI01 WINCLI02
    Les différentes phases d’une attaque
    5 – Couvrir ses actions: 6 – Export de
    Mouvement shadowing données métier
    vertical
    4 – Devenir administrateur de
    domaine ou de forêt: Escalade
    des privilèges

    3 – Devenir administrateur
    Objectif du webinar #1

    d’un ou plusieurs serveurs avec


    des applications et données
    2 – Devenir administrateur de
    plusieurs workstations:
    mouvement latéral

    1 – Devenir administrateur d’une


    workstation: compromission
    0 – Ecoute, analyse de initiale
    Mouvement horizontal
    l’environnement – Social hacking
    Obtenir un compte utilisateur

    Méthode A Méthode B Méthode C


    Social Engineering USB Keylogger Thermanator

    https://arxiv.org/pdf/18
    06.10189.pdf http://www.keelog.com/fr/keygrabber-pico/

    https://en.wikipedia.org/wiki
    /The_Art_of_Deception
    Obtenir un compte utilisateur

    Méthode D Méthode E
    Phishing Malscam

    https://seguranca-
    informatica.pt/flawedammyy-
    leveraging-undetected-xlm-
    https://en.wikipedia.org/wiki/Phishing macros-as-an-infection-vehicle/
    Obtenir un compte utilisateur

    Méthode A
    Social Engineering Une petite histoire dans le TGV…
    Obtenir un compte utilisateur
    1 2 3

    Entreprise confirmée, géographie, etc. https://www.coursflorent.fr/ +


    et ancienne du cours Florent à Paris sur Google: Nom d’un professeur du
    Prénom, nom, entreprise et « tête » une période donnée cours Florent sur la même période

    4 5 6

    « Bonjour Lucie, comment vas-tu ! » « Mon métier: Sécurité Informatique »

    « Tu te rappelles du professeur Xavier ? »


    Les différentes phases d’une attaque
    5 – Couvrir ses actions: 6 – Export de
    Mouvement shadowing données métier
    vertical
    4 – Devenir administrateur de
    domaine ou de forêt: Escalade
    des privilèges

    3 – Devenir administrateur
    Objectif du webinar #1

    d’un ou plusieurs serveurs avec


    des applications et données
    2 – Devenir administrateur de
    plusieurs workstations:
    mouvement latéral

    1 – Devenir administrateur d’une


    workstation: compromission
    0 – Ecoute, analyse de initiale
    Mouvement horizontal
    l’environnement – Social hacking
    Devenir Administrateur local de la machine

    Méthode A Méthode B Méthode C


    Social Engineering Live CD RID Hijacking

    CD Linux

    CD Windows PE

    CD Trinity Rescue Kit

    CD Spower Windows Password Reset

    https://www.windowspasswordsreset.com https://www.youtube.com/watch?v=9
    https://en.wikipedia.org/ qPGuZoJxIc
    wiki/The_Art_of_Decepti ftp://ftp.osuosl.org/pub/trk/trinity-rescue-
    on kit.3.4-build-372.iso
    Devenir Administrateur local de la machine

    Méthode B
    Live CD
    Conclusion
    Les deux premières phases de l’attaque consistent à obtenir un compte
    utilisateur et à rendre ce compte administrateur local du système

    Il est impossible de contrecarrer à 100% ces deux étapes – il reste néanmoins


    important d’implémenter les contre-mesures suivantes:

    Le prochain webinaire (2/3): maintenant que nous sommes administrateur


    local d’une machine, commençons la découverte du réseau et d’Active
    Directory puis attaquons le mouvement latéral et vertical
    Netwrix Auditor

    Démonstration
    À propos de Netwrix Auditor

    Netwrix Auditor
    Netwrix offre une plateforme de sécurité des données, qui permet aux organisations d’identifier avec
    précision les informations sensibles, réglementées et critiques et d’appliquer des contrôles d’accès de
    manière cohérente quel que soit l’endroit où elles sont stockées.

    Notre solution permet de minimiser les risques de violation des données et d’assurer la conformité
    réglementaire en réduisant de manière proactive l’exposition des données sensibles et en détectant
    rapidement les infractions aux politiques et les comportements suspects des utilisateurs.
    A propos de Netwrix Corporation

    Fondée en 2006 Support dans le monde :


    Siège social à Irvine, Californie USA, EMEA et Asie
    Clients dans le monde : plus de 9000
    Une des compagnies avec la plus
    forte progression sur le marché
    des logiciels aux Etats-Unis

    (Inc 5000, Deloitte)


    Netwrix: Les clients dans le monde
    Finances Santé & Pharmacopée

    Fédéral, État, Local, Gouvernement Industrie/Technologie/Autres

    GA
    Récompenses et notoriété de la part de l’industrie

    Toutes les récompenses:


    www.netwrix.com/awards
    Étapes suivantes
     Essai gratuit : Configurez Netwrix Auditor dans votre propre environnement de test
    netwrix.fr/auditor9.7

     Appareil virtuel : Mettez Netwrix Auditor en service en quelques minutes netwrix.com/go/appliance


     Démonstration dans le navigateur : Lancez une démonstration dans votre navigateur sans aucune
    installation
    netwrix.com/go/browser_demo
     Contactez le service des ventes Netwrix France pour obtenir plus d’informations
    Pierre Louis Lussan
    [email protected]
    +33 9 75 18 11 19

     Webinaires à venir et à la demande : Participez aux prochains webinaires ou regardez nos webinaires
    enregistrés
    netwrix.com/webinars
    Questions?

    Merci!

    Sylvain Cortes
    Architecte Expert IAM & CyberSecurity Thomas Limpens
    Enseignant à l’ESGI, au CNAM Ingénieur avant-vente Europe du Sud-Ouest,
    et à l’Université de Grenoble Netwrix

    Vous aimerez peut-être aussi