Dell publie DCEPT, un outil honeypot pour l’Active Directory

L'équipe de Dell SecureWorks a développé un outil qui permet aux administrateurs de systèmes Windows de détecter une tentative d'intrusion sur le réseau, notamment en récupérant sur une machine des informations d'authentification.

logo-honeypot1Les chercheurs expliquent que "dans un réseau Microsoft Windows, un domaine est un groupe d'ordinateurs qui sont enregistrés auprès d'une base de données centrale connue sous le nom de contrôleur de domaine. En s'appuyant sur le composant Active Directory, les administrateurs systèmes peuvent gérer les comptes utilisateurs, les processus et les permissions sur les périphériques intégrés au domaine."

Ils ajoutent également que "par défaut, Windows met en cache les credentials dans la mémoire, et les utilisateurs locaux privilégiés peuvent les extraire. Quand un administrateur du domaine se connecte sur une station de travail compromise de manière interactive (par le clavier, Bureau à distance ou avec un outil comme PsExec), le mot de passe est stocké dans le cache. En utilisant un utilitaire spécifique pour voler les mots de passe comme Mimikatz, un attaquant qui aurait les droits d'administrateurs peut dumper le cache et lire le mot de passe ou son hash. Avec cette information, l'attaquant peut obtenir un contrôle total sur le réseau."

C'est là que l'outil DCEPT (Domain Controller Enticing Password Tripwire) intervient puisqu'il permet de détecter une intrusion à l'aide de trois composants :

- DCEPT Generation Server : Il crée des honeytokens uniques pour l'authentification Active Directory

- DCEPT Agent : Il introduit ces honeytokens tous les jours dans la mémoire de chaque périphérique du réseau

- DCEPT Sniffer : Il contrôle les paquets de pré-authentification Kerberos à destination du contrôleur de domaine et qui correspondent à l'utilisateur créé dans le honeytoken. S'il en détecte un, il alertera l'équipe technique de l'intrusion en précisant la station de travail compromise.

DCEPT est donc là pour détecter une intrusion en tendant un piège à l'attaquant. Cet outil est Open Source et disponible sur GitHub pour ceux qui sont intéressés pour le tester : DCEPT

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5470.Voir tous les posts

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.