L'outil est disponible sur GitHub : https://github.com/ANSSI-FR/ADTimelineANSSI a écrit :Cet outil écrit en PowerShell se veut efficace et facilement appréhendable par des équipes autres que celles d’investigation numérique. Notamment par les administrateurs Active Directory qui seront les plus à mêmes à détecter une modification sur leur annuaire non conforme à leurs pratiques d’administration.
L'utilisation semble enfantine.
Mode en ligne : à exécuter sur une console d’administration ayant le module PowerShell Active Directory avec un compte administrateur du domaine (lecture dans le tombstone) :
Code : Tout sélectionner
PS> .\AD-timeline.ps1 -server <GLOBAL CATALOG FQDN>
Code : Tout sélectionner
C:\Windows\System32> dsamain.exe -dbpath <NTDS.DIT path> -ldapport 3266 -allownonadminaccess
Code : Tout sélectionner
PS> .\AD-timeline.ps1 -server "127.0.0.1:3266"
Sont alors générés dans le répertoire courant, les fichiers suivants :
> timeline.csv: The timeline generated with the AD replication metadata of objects retrieved.
> log-adexport.log: Script log file. You will also find various information on the domain.
> ADobjects.xml: Objects of interest retrieved via LDAP.
> gcADobjects.xml: Objects of interest retrieved via the Global Catalog.
Exploitation des résultats de l’outil ADTimeline :
> Modifications suspectes d’attributs : NTSecurityDescriptor, SIDHistory, defaultSecurityDescriptor, UserAccountControl, Searchflags...
> Effacements suspects d’objets (Tombstone).
> Comptes utilisateurs ajoutés/retirés de groupes.
> Incohérence timeline (USN/ftimeLastOriginatingChange, dwVersion, WhenCreated).
Quand un comportement suspect/défaut de configuration est trouvé, pivoter sur les journaux Windows (sauvegarde du DC pszLastOriginatingDsaDN).
La présentation de l'outil réalisée le 21/01/2019 lors de la conférence Coriin 2019 est également disponible : https://www.ssi.gouv.fr/uploads/2019/01 ... meline.pdf
Source : https://www.ssi.gouv.fr/publication/inv ... dtimeline/