CIEM, tiens une nouvelle catégorie de produits identité?
Récupération d’un Active Directory: comment repartir en confiance après une compromission
1. Merci à tous nos partenaires !
27 octobre 2022 - PARIS
@IdentityDays #identitydays2022
2. Récupération d’un Active Directory: comment
repartir en confiance après une compromission
Matthieu Trivier
Director of EMEA Pre-Sales @ Semperis
27 octobre 2022 - PARIS
IdentityDays 2022
3. Matthieu TRIVIER
Director of EMEA Pre-Sales @ Semperis
Depuis 15 ans, je discute Identité et
Résilience et avec ceux qui veulent bien
m’écouter…
Mais aussisneakers et maison autonome, pour
ceux qui préfèrentun sujetplus léger ☺
• Rappel de la session 2021 et contexte
• Active Directory est à l’arrêt: pilule bleue ou pilule rouge?
• Remonter une infrastructure AD de manière automatisée
et simple, possible ?
• Reprendre confiance dans l’identité, sujet crucial !
AGENDA DE LA CONFÉRENCE
27 octobre 2022 - PARIS
IdentityDays 2022
A la mémoire de L.L., mentor et ami
23/08/1969 - 21/10/2022
4. Rappel de la session 2021 et contexte
SEMPERIS.COM
10. SEMPERIS.COM
« Tu prends la pilule rouge: tu
restes au Pays des Merveilles, et
on descend avec le lapin blanc au
fond du gouffre »
>> Récupération et remédiation
des compromissions
« Choisis la pilule bleue et tout
s’arrête. Après, tu pourras faire de
beaux rêves et penser ce que tu
veux. »
>> Réinstallation d’un AD « neuf »
11. SEMPERIS.COM
Avantages Inconvénients
Récupération des objets
Récupération des
permissions
Peu d’impact sur les
utilisateurs (un reboot)
Sûr de repartir avec un
environnement sain
Risque de réintroduction
du malware
Risque de backdoor
Recréation de l’ensemble
des objets
(Quelqu’un a une liste ??)
Réapplication du modèle
de délégation
(Qui a dit cartographie ??)
Réinstallationde
l’ensemble des postes
(Qui a dit AutoPilot ??)
Récupération Réinstallation
12. SEMPERIS.COM
Deux problématiques sont à adresser
L’infrastructure:
• Besoin de « remettre en route » les services AD DS
• Service d’annuaire
• Service d’authentification
• Service de temps
• Résolutionde noms interne
• Quid de l’intégrité des backups ?
• Quid du SYSVOL sauvegardé ?
→ Nécessité d’accélérer une reprise sûre
Le référentiel d’identité:
• Ensemble des objets
• Utilisateurs, Groupes, OUs, …
• GPOs
• Ensemble des autorisations
• ACE, ACL, Audit, …
• Quid des comptes compromis?
• Quid des backdoors ?
→ Nécessité de reprendre confiance dansl’environnement
14. What Does it Take to Manually Perform
a Forest Recovery?
1. Pull the network cables from all DCs or otherwise disable
2. Connect DCs to be restored to a private network (oh yes - establish a
global private VLAN)
For each domain,
3. Nonauthoritative restore of first writeable DC
4. Auth restore of SYSVOL on that DC
5. Look for malware, etc. Forensic analysis: is it safe to continue?
6. Reset all admin account passwords
7. Seize FSMOs
8. Metadata cleanup of all writeable DCs except for targeted seed
forest DCs
9. Configure DNS on the forest root DC
10. Remove the global catalog from each DC.
<Wait for GC to unhost…>
11. Delete DNS NS records of DCs that no longer exist
12. Delete DNS SRV records of DCs that no longer exist
13. Raise the RID pool by 100K
14. Invalidate the current RID pool
15. Reset the computer account of the root DC twice
16. Reset krbtgt account twice
<seed forest at this point>
17. Configure Windows Time
18. Verify replication health
19. Add GC to a DC for each OS version in each domain
<Wait for GCs to host…>
20. Take a backup of all DCs in the seed forest
21. Create an IFM package for each OS version, in each domain, your DCs are
running
22. Build out seed forest with additional DCs to support Tier 0 / Tier 1
operations:
For each DC to be repromoted into the seed forest,
23. Clean up the (former) DC using /FORCEREMOVAL or rebuild OS
24. Send IFM package to server
<Wait>
25. Take the DC off the public network and put it on the seed forest
network.
26. Run a DCPROMO IFM
<Days pass…>
<Large enough forest to support basic operations>
27. Verify health of the full forest
28. Move restored forest to the corporate network
15. • First Level
• Second Level
• Third Level
• Fourth Level
SEMPERIS.COM
Récupération réduite
de plusieurs jours à
quelques heures
Restauration Propre (sans malware)
Récupération Rapide
Automatisation Avancée
Récupération sans lien avec le matériel
Analyse post-attaque (anti-virus AD)
+
+
+
+
+
16. What Does it Take to Manually Perform
a Forest Recovery?
1. Pull the network cables from all DCs or otherwise disable
2. Connect DCs to be restored to a private network (oh yes - establish a
global private VLAN)
For each domain,
3. Nonauthoritative restore of first writeable DC
4. Auth restore of SYSVOL on that DC
5. Look for malware, etc. Forensic analysis: is it safe to continue?
6. Reset all admin account passwords
7. Seize FSMOs
8. Metadata cleanup of all writeable DCs except for targeted seed
forest DCs
9. Configure DNS on the forest root DC
10. Remove the global catalog from each DC.
<Wait for GC to unhost…>
11. Delete DNS NS records of DCs that no longer exist
12. Delete DNS SRV records of DCs that no longer exist
13. Raise the RID pool by 100K
14. Invalidate the current RID pool
15. Reset the computer account of the root DC twice
16. Reset krbtgt account twice
<seed forest at this point>
17. Configure Windows Time
18. Verify replication health
19. Add GC to a DC for each OS version in each domain
<Wait for GCs to host…>
20. Take a backup of all DCs in the seed forest
21. Create an IFM package for each OS version, in each domain, your DCs are
running
22. Build out seed forest with additional DCs to support Tier 0 / Tier 1
operations:
For each DC to be repromoted into the seed forest,
23. Clean up the (former) DC using /FORCEREMOVAL or rebuild OS
24. Send IFM package to server
<Wait>
25. Take the DC off the public network and put it on the seed forest
network.
26. Run a DCPROMO IFM
<Days pass…>
<Large enough forest to support basic operations>
27. Verify health of the full forest
28. Move restored forest to the corporate network
Traditional AD
Backup tool
17. 116 MB
(500 MB
uncompressed)
Operating
System
116 MB
(500 MB
uncompressed)
11 GB
Operating
system,
other volumes
17.7 GB
ADFR vs. other domain
controller backups
ADFR backups
✓ Contain no OS → no OS-resident malware in recovery
✓ Remove dependence on source hardware → recover anywhere
✓ Are significantly smaller
✓ Provide faster backup and recovery
✓ Require less storage
ADFR
Other
Active Directory
BootFile
Active Directory
BootFile
Active Directory
BootFile
19. SEMPERIS.COM
Deux problématiques sont à adresser
L’infrastructure:
• Besoin de « remettre en route » les services AD DS
• Service d’annuaire
• Service d’authentification
• Service de temps
• Résolutionde noms interne
• Quid de l’intégrité des backups ?
• Quid du SYSVOL sauvegardé ?
→ Nécessité d’accélérer une reprise sûre
Le référentiel d’identité:
• Ensemble des objets
• Utilisateurs, Groupes, OUs, …
• GPOs
• Ensemble des permissions
• ACE, ACL, Audit, …
• Quid des comptes compromis?
• Quid des backdoors ?
→ Nécessité de reprendre confiance dansl’environnement
21. SEMPERIS.COM
Quelques exemples de techniques utilisées:
• SIDHistory
• PrimaryGroupID
• AdminSDHolder
• ManagedBy
• DNSAdmins abuse
Le backdooring, deuxième risque majeur après la réinfection par un malware.
Maisaussi :
• Nested Groups
• ACL/ACE Abuse
• SYSVOL infection
Problèmes de configurationunitaires
aka « Indicateurs de compromission»
Chemins d’attaquerésiduels
22. • “Tier 0” regroupe l’ensemble
des composants qui gèrent
les identitéset les privilèges
(Contrôleurs de domaine, PKI,
AAD Connect, …)
• Le Tiering Model ne
s’appliquepas uniquement
aux données du domaine AD
… mais également à tout les
membres de ces ADs
(serveurs, PCs, …)
Source:
Microsoft
23. Purple Knight
• 100+ Indicateursd’Expositionet de Compromission pour
AD et AAD
• Pas d’installation (portable),pas de droits d’admin,
lecture seule
• Rapport PDF/HTML sur la posture de sécurité globale
• Intégrationdes recommandationsde l’ANSSI
SEMPERIS.COM
Forest Druid
• Approche novatrice pour faciliter le travaildes défenseurs
• Visibilitésur les chemins d’attaquemenant au Tier 0 avec
classificationpersonnalisablede la notion de Tier 0
• Export des objets et des relationpour faciliter la
remédiation
24. Evaluez rapidement la
sécurité d’un AD
Indicateurs de sécurité pre- and post-attaque
Modèles de menaces basés sur la communauté
Plan de remédiation inclus
Corrélation avec MITRE ATT&CK/D3FEND & ANSSI
+
+
+
+
25. Forest Druid
• Solution pour analyser de manière
interactive les risques de sécurité liées
à AD en suivi une méthode « Inside-
Out »
• Extrêmement simple à configure et
rapide pour collecter les bonnes
données AD (permissions, relations
entre les objets, …)
• Focus sur les objets et les relations qui
sont un risque pour le Tier 0 (DC,
Admins du domaine, …).
• Aide les admins AD à rapidement
identifier les relations à risques qui
pourraient permettre des attaques
➔ Permet aux admins de facilement identifier et protéger l’ensemble du périmètre privilégié de leur Active Directory!
30. SEMPERIS.COM
Deux problématiques sont à adresser
L’infrastructure:
• Besoin de « remettre en route » les services AD DS
• Service d’annuaire
• Service d’authentification
• Service de temps
• Résolutionde noms interne
• Quid de l’intégrité des backups ?
• Quid du SYSVOL sauvegardé ?
→ Nécessité d’éradiquer les malwares présents
Le référentiel d’identité:
• Ensemble des objets
• Utilisateurs, Groupes, OUs, …
• GPOs
• Ensemble des permissions
• ACE, ACL, Audit, …
• Quid des comptes compromis?
• Quid des backdoors ?
→ Nécessité de reprendre confiance dansl’environnement
31. IdentityDays 2022
27 octobre 2022 - PARIS
Questions ?
Merci de votre participation !
A la mémoire de L.L., mentor et ami
23/08/1969 - 21/10/2022
32. Merci à tous nos partenaires !
27 octobre 2022 - PARIS
@IdentityDays #identitydays2022