[pixis]

Yop yop,

Aujourd'hui une petite news pour présenter l'outil BloodHound (Github). En deux mots, BloodHound est un outil qui utilise la théorie des graphes pour trouver différents chemins dans un active directory qui permettent, grâce aux différentes faiblesses présentes dans un AD, d'escalader ses privilèges pour finalement devenir admin du domaine.

Pour ceux qui ne savent pas ce qu'est un Active Directory, c'est une solution Microsoft qui fournit "des services centralisés d'identification et d'authentification à un réseau d'ordinateurs utilisant le système Windows".

Il existe différentes techniques pour se déplacer dans un AD lorsqu'on attaque un réseau d'entreprise (Mimikatz, Pass-the-hash ,...). On commence en compromettant la machine d'un utilisateur, on étudie les machines sur lesquelles on peut prendre la main, puis sur chaque nouvelle machine, on liste les utilisateurs connectés et on regarde quelles sont encore les nouvelles machines auxquelles on peut avoir accès en vue de gagner des privilèges et ainsi de suite pour finalement compromettre les credentials de l'admin du domaine, le saint Graal. Le processus est efficace mais très fastidieux.

C'est là qu'entre en jeu BloodHound. Cette solution va effectuer cette recherche de chemin automatiquement dans l'AD et cette recherche peut être effectuée (disent le développeurs) à grande échelle, avec un parc de 200k machines.

Pour BloodHound, les graphes sont orientés et sont construits sur ce principe

• Un noeud peut être une machine, un utilisateur, un groupe ou un domaine,
• les arêtes représentent les appartenances à des groupes, les droits admin, les sessions utilisateurs et les Trusts entre domaines,
• les chemins sont ceux qui permettent d'élever ses privilèges.

Grâce à la théorie des graphes et à Neo4J, BloodHound trouve les chemins les plus courts pour devenir admin du domaine. Tout se fait en mémoire, le disque n'est pas utilisé. C'est un vrai gain de temps, et c'est à mon sens un outil extrêmement puissant qui devrait faire partie de l'arsenal de tout pentester.

Vis à vis du client du pentest, vous ne lui direz plus au bout de 4 jours qu'il existe un chemin pour devenir admin du domaine, mais vous lui direz au bout d'une courte période (qui dépend du nombre de machines) tous les chemins qui permettent de devenir admin du domaine. Si c'est pas beau.

L'outil a été présenté à la bsides à Las Vegas en 2016.

Bécots et bon pentest !

[the lsd]

Mais il a l'air énorme ce tool !

T'as déjà eu des retours là dessus ?

Enjoy

The lsd

Edit : au passage, le lien vers le github : https://github.com/adaptivethreat/BloodHound

[pixis]

J'ai edit mon message, merci pour l'oubli du lien github.

Pas encore de retours, je compte bien tester le bouzin. J'ai posté la news car le tool me semble vraiment cool, mais du coup j'en profite pour savoir si des gens ont des retours

[S0410N3]

En parlant d'Active Directory il y a un soft Microsoft qui a l'air sympa, pas pour le paintest mais pour anticiper/détecter les éventuelles attaques.

https://www.microsoft.com/en-us/cloud-platform/advanced-threat-analytics

Je suis en train de le tester au taf. Ca semble fonctionner plutôt pas mal.
Il faut le laisser tourner pas mal de temps (une 30aine de jours) pour qu'il "apprenne" les divers comportements des users et des machines.
Après il commence à devenir un peu plus verbeux

Bon par contre ce n'est pas gratuit bien sûr...

Pour un admin système MS par les temps qui courent ça me semble être un bon outil surtout quand on a un accès complet au VLSC

[pixis]

Je vais aller jeter un œil, ça semble intéressant.

Toujours dans les histoires de recherches de chemins dans un AD, il y a également un tool de l'ANSSI qui propose le même principe

https://github.com/ANSSI-FR/AD-control-paths

À tester également ...!

[Iansus]

Hello,

Je n'ai jamais eu à les utiliser personnellement, mais quelques collègues oui.
 
AD Control Path (ADCP) :

• Les plus : premier du nom à faire ça, produit par l'ANSSI, donc on peut espérer un support, fait le job
• Les moins : visiblement pas ouf dès qu'on veut parser la sortie, pas génial sur les traductions, modifie le nom des propriétés (par exemple un userPrincipalName qui devient UPname... tout le mapping est à refaire à la main)

Bloodhound :

• Les plus : rapide, récent (donc on peut espérer quelques évolutions encore), se base sur les utilisateurs connectés sur les workstations (pas ADCP) pour donner un chemin idéal
• Les moins : Pas facile à lancer quand le PC de pentest est hors du domaine cible (1), les chemins fournis sont en partie dynamiques, vu que ça dépend des users connectés

(1) en raison des fonctions Powershell appelées qui tapent sur le domaine de la machine qui appellent. Ca devrait pouvoir se résoudre à coup de runas /netonly, ou lancé depuis un mimikatz Pass the Hash (qui fait la même chose que /netonly mais à partir d'un hash, ce qu'on trouve plus souvent en pentest).

</my2cents>

[pixis]

Merci pour ces retours, ils valent plus que 2cents. J'en ferai quand j'aurai testé l'une ou l'autre des deux solutions.