L'analyse du nom de service principal (SPN) est une technique de reconnaissance que les attaquants utilisent dans les environnements Active Directory. Cette méthode permet aux attaquants de découvrir des services importants et des comptes associés, qui peuvent être des cibles potentielles pour d'autres attaques telles que le Kerberoasting.
Lecture associée : Protéger Active Directory contre le Kerberoasting
Qu'est-ce que l'analyse SPN ?
Il est essentiel de comprendre et de gérer correctement les SPN dans les environnements Active Directory afin de garantir une authentification Kerberos sûre et transparente pour les différents services du réseau.
Dans le contexte d'Active Directory, les SPN sont des identifiants uniques attribués aux instances de service. Les SPN sont utilisés dans l'authentification Kerberos pour associer une instance de service à un compte de connexion au service. Cette association est essentielle pour que Kerberos fonctionne correctement dans un environnement Active Directory.
- Lorsqu'un client souhaite accéder à un service sur un serveur, il demande un ticket de service au Centre de distribution de clés (KDC), qui fait partie de chaque contrôleur de domaine Active Directory.
- Le client spécifie le SPN du service auquel il veut accéder. Le SPN identifie de manière unique cette instance de service au sein du domaine.
- Active Directory utilise le SPN pour trouver le compte de service associé et génère un ticket crypté avec les informations d'identification de ce compte.
- Le client présente ensuite ce ticket au service, qui peut le décrypter à l'aide de ses propres informations d'identification, garantissant ainsi l'authentification mutuelle.
L'analyse des SPN consiste à énumérer les SPN enregistrés dans un domaine Active Directory. Les attaquants recherchent les SPN pour trouver des comptes de service susceptibles de disposer de privilèges élevés.
L'analyse SPN est souvent furtive. La technique échappe aux méthodes de détection standard en utilisant la fonctionnalité légitime d'Active Directory et de Kerberos. Et contrairement à d'autres attaques, l'analyse SPN ne compromet pas immédiatement le compte de service. Elle prépare plutôt le terrain pour des attaques ultérieures.
Comment fonctionne l'analyse SPN ?
Certains scénarios peuvent rendre votre organisation particulièrement vulnérable à l'analyse SPN. La compréhension de ces vulnérabilités est essentielle pour les professionnels de l'informatique et de la cybersécurité qui souhaitent renforcer leurs défenses.
Comptes de service avec des privilèges élevés
Les comptes de service qui ont des privilèges élevés ou qui administrent des services critiques sont des cibles de choix pour les attaquants qui utilisent l'analyse SPN. La compromission de ces comptes peut donner aux acteurs de la menace un large accès au réseau. Les comptes d'utilisateurs disposant de droits d'administration sur des services essentiels sont également menacés. Les attaquants peuvent utiliser ces comptes pour effectuer des opérations sensibles ou accéder à des données critiques.
Comptes mal sécurisés et pratiques de mots de passe faibles
Les comptes dont les mots de passe sont simples ou par défaut sont très vulnérables. L'analyse SPN peut conduire à un vol d'informations d'identification si ces mots de passe sont faciles à déchiffrer.
SPN mal configurés ou excessifs
Des SPNs excessifs ou mal configurés augmentent la surface d'attaque. Les attaquants peuvent utiliser ces SPN pour identifier des cibles potentielles. En outre, une mauvaise gestion des SPN, comme le fait de ne pas supprimer les SPN pour les services déclassés, crée des vulnérabilités inutiles.
Systèmes contenant des données sensibles ou des services critiques
Les environnements riches en données avec des systèmes qui hébergent des données sensibles (par exemple, des informations personnelles, des données financières) courent un risque plus élevé si les comptes de service associés sont compromis. Les services d'infrastructure critiques qui sont indispensables au fonctionnement du réseau, tels que les contrôleurs de domaine ou les serveurs de base de données, sont particulièrement vulnérables, car leur compromission peut avoir des répercussions considérables.
Absence de contrôle et d'audit rigoureux
Les réseaux dépourvus de solutions efficaces de surveillance et d'audit risquent de ne pas détecter les activités suspectes liées à l'analyse des réseaux de fournisseurs de services. En outre, les environnements dépourvus de capacités avancées de détection des anomalies sont moins susceptibles d'identifier des schémas de requête inhabituels indiquant la technique.
Systèmes anciens et pratiques de sécurité obsolètes
Les anciens systèmes qui ne sont pas régulièrement mis à jour ou corrigés sont particulièrement susceptibles d'être exploités une fois qu'un attaquant a obtenu un accès initial. Le fait de s'appuyer sur des protocoles et des configurations de sécurité obsolètes peut rendre les systèmes vulnérables au vol d'informations d'identification et aux mouvements latéraux.
Manque de sensibilisation et de formation à la sécurité
Le personnel qui ne connaît pas les meilleures pratiques en matière de sécurité, notamment en ce qui concerne la sécurité des mots de passe et les menaces d'hameçonnage, peut par inadvertance accroître sa vulnérabilité à l'analyse SPN et aux attaques qui s'ensuivent.
Processus d'attaque par balayage SPN
Alors, comment les acteurs de la menace utilisent-ils le balayage SPN pour attaquer une organisation ? Les étapes suivantes sont typiques de ce scénario :
- Reconnaissance initiale et énumération des SPN. L'objectif principal de l'attaquant est d'identifier les comptes de service, en particulier ceux qui disposent de privilèges élevés. Les attaquants utilisent souvent des outils Windows intégrés tels que setspn, des cmdlets PowerShell (Get-ADServiceAccount, Get-ADUser) ou des outils tiers spécifiquement conçus pour interroger Active Directory en vue de l'énumération des SPN. Ces requêtes renvoient une liste de SPN associés à divers services du domaine.
- Identification de la cible. À partir des SPN énumérés, l'attaquant identifie les comptes de service, en recherchant en particulier les comptes qui pourraient être mal sécurisés, qui ont un accès à un domaine de haut niveau ou qui sont susceptibles d'avoir des mots de passe faibles. Certains types de services SPN (tels que MSSQLSvc pour les serveurs SQL) peuvent être plus lucratifs, car ils peuvent s'exécuter sur des serveurs critiques.
- Attaque et escalade. Maintenant que l'attaquant dispose d'informations sur les SPN dans Active Directory, il peut utiliser ces connaissances pour attaquer votre réseau :
- Kerberoasting. Avec les SPN identifiés, l'attaquant peut alors effectuer le Kerberoasting, qui consiste à demander des tickets TGS (Ticket Granting Service) au KDC pour ces services. Ces tickets TGS sont cryptés avec le mot de passe du compte de service. L'attaquant extrait ces tickets de la mémoire de sa propre machine ou d'un hôte compromis.
- Attaques par force brute hors ligne. L'attaquant peut utiliser des techniques de force brute hors ligne pour déchiffrer la partie chiffrée des billets TGS. Des outils tels que John the Ripper ou Hashcat sont couramment utilisés à cette fin. Si elle réussit, cette attaque révèle le mot de passe du compte de service en clair, ce qui permet à l'attaquant d'accéder au compte de service.
- Escalade. En contrôlant un compte de service, l'attaquant peut se déplacer latéralement dans le réseau, en accédant à d'autres systèmes et services. Si le compte compromis dispose de privilèges administratifs, cela peut conduire à la compromission complète du domaine.
Quels sont les risques associés au balayage du SPN ?
Les risques associés à l'analyse SPN dans les environnements Active Directory sont importants et multiples.
Exposition des données d'identification et accès aux données
L'analyse SPN conduit souvent à la découverte de comptes de service, dont certains peuvent avoir des privilèges élevés. Si ces comptes sont compromis (par exemple, par des attaques ultérieures de type "Kerberoasting"), les attaquants peuvent accéder à des services et à des données critiques. Les comptes de service ont également souvent accès à des données sensibles. Un pirate disposant de ces informations d'identification peut accéder à des informations confidentielles, ce qui entraîne des violations de données.
Reconnaissance interne et cartographie du réseau
En énumérant les SPN, les attaquants obtiennent des informations précieuses sur la structure du réseau, notamment sur les rôles des serveurs et les services fonctionnant dans le domaine. Ces connaissances facilitent les attaques ciblées. Les attaquants peuvent identifier des actifs de grande valeur tels que les contrôleurs de domaine, les serveurs de base de données ou les serveurs d'application, qui peuvent constituer des cibles principales lors d'attaques futures.
Mouvement latéral et escalade des privilèges
Les comptes de service compromis, en particulier ceux qui disposent d'un accès étendu, permettent aux attaquants de se déplacer latéralement sur le réseau, en accédant à plusieurs systèmes. Si un compte de service dispose de privilèges administratifs, les attaquants peuvent potentiellement escalader leur accès pour prendre le contrôle de parties importantes du réseau, y compris des contrôleurs de domaine.
Persistance et accès continu
Avec des informations d'identification valides, les attaquants peuvent établir une présence à long terme dans le réseau, ce qui rend difficile leur détection et leur élimination. Les comptes de service compromis peuvent être utilisés pour créer des portes dérobées permettant un accès ininterrompu, même si le point d'entrée initial est sécurisé.
Contournement des mesures de sécurité traditionnelles
L'analyse SPN et les attaques qui en découlent, telles que le "Kerberoasting", exploitent souvent des fonctionnalités légitimes d'Active Directory et de Kerberos, ce qui les rend plus difficiles à détecter à l'aide des outils de sécurité traditionnels. Les comptes de service et les tickets Kerberos correctement configurés sont la norme dans les environnements Active Directory. Leur utilisation abusive peut permettre de contourner les mesures de sécurité conçues pour détecter des activités malveillantes plus manifestes.
Perturbation des activités
La compromission de comptes de services essentiels peut perturber les opérations, entraînant des temps d'arrêt et des pertes financières. Les violations de données ou les perturbations notables peuvent également nuire à la réputation d'une organisation et éroder la confiance des clients.
Comment détecter les attaques par balayage SPN ?
La détection des attaques par balayage SPN dans les environnements Active Directory nécessite une combinaison de surveillance avancée, de configuration appropriée et de sensibilisation aux activités suspectes.
La mise en œuvre d'un audit avancé et d'une surveillance des journaux est au cœur de cette approche. Les organisations devraient configurer l'Active Directory et l'audit des serveurs pour suivre méticuleusement les demandes d'accès aux comptes de service et les requêtes SPN, tout en examinant régulièrement les journaux de sécurité pour y déceler des schémas inhabituels, tels qu'un volume élevé de requêtes SPN provenant d'un seul utilisateur ou d'une seule adresse IP.
En outre, il est essentiel d'utiliser des systèmes de détection des anomalies et d'analyse du trafic réseau. Les outils de sécurité capables de détecter les anomalies dans le comportement du réseau, combinés à des solutions d'analyse comportementale, peuvent alerter les administrateurs sur des schémas inhabituels susceptibles d'indiquer des activités de reconnaissance. Les outils de surveillance du réseau qui analysent le trafic en provenance et à destination des contrôleurs de domaine peuvent être particulièrement révélateurs, car un trafic LDAP ou Kerberos excessif peut être le signe d'un balayage SPN ou de tentatives de Kerberoasting.
La surveillance des comptes de service pour l'utilisation non routinière et l'audit des services pour les configurations SPN correctes peuvent mettre en évidence des signaux d'alerte. Parallèlement, les outils de détection et de réponse (EDR) qui surveillent les terminaux pour détecter l'utilisation d'outils de piratage ou de scripts associés à l'analyse des SPN, intégrés à des renseignements à jour sur les menaces, peuvent offrir des informations inestimables.
Enfin, des audits réguliers et des contrôles de conformité garantissent que les réseaux respectent les normes de sécurité et les meilleures pratiques, ce qui atténue les risques associés à l'analyse SPN.
Comment atténuer les effets d'une attaque par balayage SPN ?
L'atténuation des attaques de balayage SPN dans les environnements Active Directory implique une combinaison de planification stratégique, de pratiques de sécurité robustes et de surveillance proactive. Une atténuation efficace ne réduit pas seulement le risque de telles attaques de reconnaissance, mais renforce également la posture de sécurité globale contre une variété de menaces.
Mettre en œuvre des politiques de sécurité solides pour les comptes de service
S'assurer que les comptes de service ont des mots de passe forts et complexes et qu'ils sont régulièrement modifiés est essentiel pour atténuer les effets de l'analyse SPN. L'application de politiques relatives à la complexité des mots de passe diminue la probabilité de compromission des informations d'identification.
En outre, les comptes de service ne devraient se voir accorder que les autorisations nécessaires à leur rôle spécifique, conformément au principe du moindre privilège. Cela permet de réduire les dommages potentiels en cas de compromission d'un compte.
Mener des audits réguliers et nettoyer les SPN
La réalisation d'audits réguliers des SPN dans l'environnement Active Directory peut vous aider à identifier et à supprimer les SPN inutiles ou obsolètes, réduisant ainsi la surface d'attaque. Une bonne gestion des SPN inclut la suppression des SPN pour les services déclassés et la garantie que les SPN sont correctement configurés et associés aux comptes de service appropriés.
Améliorer la surveillance et la détection des anomalies
Il est essentiel de mettre en œuvre des solutions de surveillance avancées capables de détecter des schémas inhabituels de requêtes SPN. Mettre en place des alertes pour les activités anormales, telles qu'un volume élevé de demandes de consultation de SPN, qui peuvent indiquer des efforts de reconnaissance. Intégrer des outils de détection d'anomalies dans l'infrastructure de sécurité afin de fournir des signes d'alerte précoce sur les activités potentielles de balayage de SPN.
Sécuriser les points finaux et les réseaux
L'utilisation de solutions EDR et de mesures de sécurité réseau robustes permet d'atténuer davantage le risque. Les solutions EDR peuvent détecter les indicateurs de compromission sur les terminaux et y répondre. Les mesures de sécurité du réseau, y compris les pare-feu et les systèmes de détection des intrusions, peuvent surveiller et contrôler le trafic vers les serveurs sensibles, en particulier les contrôleurs de domaine.
Mener des actions d'éducation et de sensibilisation
Il est essentiel de sensibiliser l'équipe informatique et les utilisateurs finaux à la nature des attaques par balayage SPN et à leurs indicateurs. Des sessions de formation régulières et des mises à jour sur les dernières cybermenaces, y compris l'analyse SPN, ainsi que la promotion d'une culture de sensibilisation à la sécurité dans l'ensemble de l'organisation sont des étapes fondamentales pour favoriser une posture de sécurité solide et donner au personnel les moyens de reconnaître ces menaces et d'y répondre efficacement.
Pour les administrateurs d'Active Directory qui souhaitent contrer efficacement les attaques par balayage SPN, il est essentiel d'adopter une approche globale et proactive. L'amélioration de la sécurité des comptes de service est un élément clé de cette stratégie.
Cette tâche implique l'utilisation de mots de passe forts et complexes et l'application stricte du principe du moindre privilège afin de limiter les autorisations de compte au strict nécessaire pour les rôles opérationnels. Là encore, il est essentiel de procéder à des audits réguliers des SPN dans Active Directory. Il s'agit notamment d'examiner et de supprimer les SPN obsolètes ou inutiles et de vérifier que les SPN existants sont correctement configurés et liés aux comptes de service appropriés.
Sur le plan technique, il est essentiel d'activer des fonctions avancées d'audit et de journalisation de la sécurité. Les administrateurs doivent configurer des stratégies pour enregistrer et surveiller méticuleusement les demandes d'accès aux comptes de service et les requêtes SPN. Ils doivent régulièrement examiner ces journaux pour y déceler des signes d'activités inhabituelles, telles que des pics dans les volumes de requêtes SPN.
La mise en œuvre d'outils de détection des anomalies et de surveillance du réseau renforcera encore les défenses, en permettant la détection précoce de comportements anormaux dans le réseau qui peuvent indiquer des efforts de reconnaissance. Simultanément, le déploiement de solutions EDR est crucial, en particulier pour surveiller les signes d'outils d'attaque ou d'exécutions de scripts inhabituels.
D'autres étapes cruciales consistent à tirer parti des fonctions de sécurité avancées d'Active Directory, telles que le groupe Protected Users et Credential Guard, et à assurer des mises à jour et des correctifs réguliers du système. Enfin, l'élaboration et le test régulier d'un plan de réponse aux incidents bien défini pour les failles de sécurité potentielles, y compris les mesures à prendre en cas de détection d'un balayage SPN, garantissent la préparation et une réponse rapide et efficace en cas d'incident.
En substance, les administrateurs d'Active Directory doivent adopter une stratégie de défense à plusieurs niveaux, combinant une gestion rigoureuse des comptes de service, des systèmes de surveillance et de détection sophistiqués, des programmes de formation et de sensibilisation réguliers et l'utilisation de fonctions de sécurité AD avancées, afin d'atténuer efficacement les risques associés aux attaques par balayage SPN.
Protéger Active Directory contre l'analyse SPN
L'analyse SPN est une technique de reconnaissance essentielle dans l'arsenal des cyberattaquants. Cette méthode de reconnaissance sophistiquée, principalement utilisée pour identifier des cibles de grande valeur dans les environnements Active Directory, exploite des fonctions légitimes d'Active Directory et de Kerberos à des fins malveillantes, servant souvent de précurseur à des attaques plus agressives. La compréhension, la détection et l'atténuation de cette attaque sont des éléments essentiels d'un dispositif de cybersécurité solide pour toute organisation qui s'appuie sur Active Directory.