L'attaque DCShadow exploite un commutateur dans l'utilitaire Mimikatz qui permet aux utilisateurs privilégiés d'injecter des modifications malveillantes dans Active Directory (AD) sans être détectés. DCShadow tire parti de la réplication native d'AD pour éviter d'envoyer des événements aux journaux de sécurité d'AD.
Méthodologie DCShadow :
- DCShadow permet aux attaquants (avec des droits d'administrateur) de créer un faux contrôleur de domaine (DC) qui peut rapidement distribuer des modifications aux DC légitimes en utilisant des mécanismes de réplication normaux.
- Les utilisateurs privilégiés créent un objet DC temporaire dans le contexte de dénomination de la configuration et le conservent juste assez longtemps (moins de 30 secondes) pour introduire des modifications AD dans un DC existant en lecture-écriture. À partir de là, la réplication est déclenchée par le DC légitime "de confiance"
- Maintenant, parce que ces changements ont été effectués sur le faux DC, les journaux d'événements de sécurité n'ont aucune trace de ce qui s'est passé - les SIEM sont aveugles à l'assaut imminent. En fin de compte, les mouvements de l'attaquant ne sont pas contrôlés, laissant derrière eux une menace persistante.
Regardez cette présentation vidéo pour apprendre à vous défendre contre cette menace émergente. Présenté par Darren Mar-Elia, MVP Microsoft Cloud et Datacenter depuis 14 ans, Darren Mar-Elia a une grande expérience de la gestion des identités et des accès et a été le directeur technique et fondateur de SDM software, un fournisseur de solutions de gestion des systèmes Microsoft.