[ANSSI] ADTimeline l'outil d'investigation sur AD avec les métadonnées de réplication

Tous sur l'analyse des vulnérabilités "réseau" de nos SIH, sonde IDS, scanner de vulnérabilités...
Répondre
Avatar du membre
charles
Administrateur du site
Messages : 3780
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

[ANSSI] ADTimeline l'outil d'investigation sur AD avec les métadonnées de réplication

Message par charles » 24 janv. 2019 08:12

L'ANSSI a récemment publié sous licence GPL V3, un outil d’investigation numérique sur l'annuaire Active Directory se basant sur les métadonnées de réplication.
ANSSI a écrit :Cet outil écrit en PowerShell se veut efficace et facilement appréhendable par des équipes autres que celles d’investigation numérique. Notamment par les administrateurs Active Directory qui seront les plus à mêmes à détecter une modification sur leur annuaire non conforme à leurs pratiques d’administration.
L'outil est disponible sur GitHub : https://github.com/ANSSI-FR/ADTimeline

L'utilisation semble enfantine.

Mode en ligne : à exécuter sur une console d’administration ayant le module PowerShell Active Directory avec un compte administrateur du domaine (lecture dans le tombstone) :

Code : Tout sélectionner

PS> .\AD-timeline.ps1 -server <GLOBAL CATALOG FQDN>
Mode hors-ligne : dans le cas d’une image disque d’un DC, d’une sauvegarde ou snapshot de la base. Monter NTDS.DIT avec dsamain.exe(rôle ADLDS) sur une machine d’analyse ayant le module PowerShell Active Directory :

Code : Tout sélectionner

C:\Windows\System32> dsamain.exe -dbpath <NTDS.DIT path> -ldapport 3266 -allownonadminaccess
Puis lancer l'outil à destination de localhost sur le port 3266 :

Code : Tout sélectionner

PS> .\AD-timeline.ps1 -server "127.0.0.1:3266"

Sont alors générés dans le répertoire courant, les fichiers suivants :

> timeline.csv: The timeline generated with the AD replication metadata of objects retrieved.

> log-adexport.log: Script log file. You will also find various information on the domain.

> ADobjects.xml: Objects of interest retrieved via LDAP.

> gcADobjects.xml: Objects of interest retrieved via the Global Catalog.


Exploitation des résultats de l’outil ADTimeline :

> Modifications suspectes d’attributs : NTSecurityDescriptor, SIDHistory, defaultSecurityDescriptor, UserAccountControl, Searchflags...

> Effacements suspects d’objets (Tombstone).

> Comptes utilisateurs ajoutés/retirés de groupes.

> Incohérence timeline (USN/ftimeLastOriginatingChange, dwVersion, WhenCreated).

Quand un comportement suspect/défaut de configuration est trouvé, pivoter sur les journaux Windows (sauvegarde du DC pszLastOriginatingDsaDN).

La présentation de l'outil réalisée le 21/01/2019 lors de la conférence Coriin 2019 est également disponible : https://www.ssi.gouv.fr/uploads/2019/01 ... meline.pdf

Source : https://www.ssi.gouv.fr/publication/inv ... dtimeline/

michael
Messages : 160
Enregistré le : 12 févr. 2016 13:38
Etablissement : CHU Nimes
Fonction : RSSI
DPO / DPD : Non

Re: [ANSSI] ADTimeline l'outil d'investigation sur AD avec les métadonnées de réplication

Message par michael » 30 janv. 2019 09:22

Merci j'étais passé à côté. Toujours très bien ce genre d'outils. Pour l'AD tu as aussi "MS AD Topology Diagrammer" et "PingCastle", je ne sais pas si tu connais.

Avatar du membre
charles
Administrateur du site
Messages : 3780
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: [ANSSI] ADTimeline l'outil d'investigation sur AD avec les métadonnées de réplication

Message par charles » 30 janv. 2019 12:20

J'utilise PingCastle également, c'est un excellent outil effectivement ;)

benoit.g
Messages : 49
Enregistré le : 05 sept. 2017 16:02
Etablissement : CHS de l'Yonne
Fonction : Responsable SI
DPO / DPD : Non

Re: [ANSSI] ADTimeline l'outil d'investigation sur AD avec les métadonnées de réplication

Message par benoit.g » 31 janv. 2019 14:49

oui, j'utilise également PingCastle qui m'a permis de bien comprendre certains problématiques AD et de les résoudre, même si certaines parties, comme le reset du mot de passe krtbtgt et l'exposition au golden ticket demandent un certain sang froid avant de se lancer.

Répondre

Retourner vers « Analyse des vulnérabilités »