Scurity Services
Dans cet article, nous explorerons ensemble pourquoi Active Directory est la cible privilégiée des ransomwares de nouvelle génération et fournirons les pistes pour améliorer la résilience de votre organisation face aux attaques de ransomwares.
95% des organisations dans le monde possédant plus de 50 ordinateurs utilisent déjà Active Directory – grâce à l’étude des codes malicieux, nous avons constaté que plus de 60% des ransomwares possèdent un code spécifique visant à cibler Active Directory – comme Active Directory contrôle les identités, il apparait évident que le risque est immense si le niveau de sécurité lié à Active Directory n’est pas suffisant.
Il existe de nombreuses raisons à l’usage quasi-systématique d’Active Directory lors des attaques informatiques. Nous pouvons citer ici les principales:
Les groupes d’attaquants et les concepteurs de malware sont extrêmement feinéants! Leur objectif est d’aller à l’essentiel, ils savent parfaitement qu’ils ont plus de 90% de chance de trouver un annuaire Active Directory sur votre réseau, ils se concentrent sur les technologies répandues.
21 ans cette année! La conception originelle d’Active Directory est solide, répondant aux problématiques d’un nouveau millénaire, mais sa conception repose sur des standards datant de plus de deux décennies – Pendant 20 ans, les attaquants ont largement eu le temps d’étudier les failles structurelles, les possibles mauvaises configurations et de monter en compétence sur l’exploitation des chemins d’attaque sur Active Directory.
Il s’agit peut-être du point le plus important: Imaginons que vous réalisiez un audit de votre Active Directory. Les résultats sont bons, tout va bien – pourtant 3 semaines plus tard, une attaque vous percute en utilisant des chemins de compromission sur Active Directory… Comment cela est-il possible? Tout simplement parce qu’Active Directory est un objet vivant qui est le réceptacle de milliers de changements quotidiens: création de compte, modification de groupe, rajout de machines, déploiement d’applications… La vérité du jour n’est pas celle du lendemain et les ransomwares sont maintenant capables de scanner en temps réel l’ensemble des modifications créant des déviances de sécurité au sein de l’annuaire.
Malheureusement nous n’avons pas pris soin de la sécurité Active Directory pendant 20 ans et cela nous revient comme un boomerang en plein tête car, maintenant, les ransomwares exploitent cette situation désastreuse.
Les attaques informatiques basées sur les ransomwares visent prioritairement la confidentialité des données et l’intégrité des données.
(Message sur un forum du Darknet annonçant la mise en vente d’informations liées à des comptes d’administration (username+password) Office 365 par suite d’une exfiltration de données via un ransomware.
Message indiquant le chiffrement des données et la demande rançon sur un PC infecté par Wanacry.
La séquence d’attaque d’un ransomware est relativement standardisée, d’ailleurs elle ne diffère pas tant que cela d’une attaque réalisée par un individu derrière un clavier! La différence est, qu’ici, l’ensemble des étapes sont réalisées de manière automatique, via du code.
Exemple d’une séquence d’attaque de la part d’un ransomware.
L’objectif est ici d’infecter un premier PC dans l’entreprise (aussi appelé pivot), souvent par le biais d’un phishing, mais n’oublions pas les primo-infections utilisant un lien malicieux depuis un site web, une clé USB corrompue ou un package logiciel infecté.
Une fois installé sur la machine, ce premier code réalisera systématiquement les étapes suivantes:
Le deuxième code va tenter de capter des identifiants, des mots de passe ou des hash de mots de passe sur la machine primo-infectée – généralement depuis la mémoire vive, mais aussi depuis le registre de la machine. Ces premiers « credentials » permettront au code de devenir administrateur local de la machine pivot.
Ensuite le code va commencer à réaliser la reconnaissance d’Active Directory et des machines Windows: Il s’agit d’une étape importante car elle permettra de passer à l’échelle dans la suite de l’attaque – l’objectif est ici de découvrir des chemins d’attaque potentiels au sein de l’annuaire en utilisant deux types de failles:
Dès qu’un chemin d’attaque est détecté au sein d’Active Directory, le code du ransomware utilisera le mouvement latéral et l’escalade de privilèges pour prendre le contrôle de la forêt Active Directory. Notons ici que le ransomware peut fonctionner en mode latent, scannant en temps réel l’Active Directory et l’apparition d’une déviance de sécurité liée à une modification – cette étape peut durer quelques heures ou plusieurs mois.
Une fois l’annuaire sous contrôle, le ransomware utilisera des techniques diverses selon sa maturité:
L’étape finale consistera à déployer la charge de chiffrement sur l’ensemble des machines, à chiffrer l’ensemble des données et à demander une rançon.
Il est absolument nécessaire de parfaitement comprendre la notion de chemin d’attaque afin d’adopter une posture défensive efficace. Il faut comprendre qu’il n’existe finalement que deux moyens techniques de compromettre un système:
Les groupes d’attaquants embarquent directement dans le code des ransomwares des fonctions de détection des mauvaises configurations Active Directory afin de repérer et exploiter rapidement les chemins d’attaques pour devenir administrateur du domaine.
Une fois que le domaine est sous contrôle, le ransomware a la capacité de chiffrer la totalité des données et de créer des backdoors pour revenir dans le futur.
Exemple d’un chemin d’attaque utilisant un mixte de CVEs non patchées (vert) et de mauvaises configurations Active Directory (rose).
Pour protéger votre organisation contre les attaques de ransomwares vous devez impérativement réaliser les opérations suivantes:
N’hésitez pas à nous contacter pour établir les premières étapes de votre plan de sécurité Active Directory.
Business Development Manager IT Security
Trouve le Job ou l’univers professionnel qui te convient. Où tu veux co-créer et évoluer.
Ce qui nous définit, c’est toi.
