Certificat d'or Active Directory

Certificat d'or, Le tiering Active Directory Il s’agit d’une technique de persistance basée sur la violation des services de certificats (AD CS).

Qu'est-ce que le Certificat d'Or ?

Une fois que les acteurs malveillants obtiennent un accès administratif à un service de certificat Active Directory (CA), ils peuvent extraire un certificat CA et une clé privée. Une fois obtenues, ces informations peuvent être utilisées pour créer des certificats valides pour usurper l'identité d'autres objets utilisateur au sein du domaine. Le certificat CA et la clé privée de l'autorité de certification racine ou enfant peuvent être obtenus à l'aide d'outils d'administration intégrés conçus à des fins de sauvegarde ou d'outils open source tels que Mimikatz, Seatbelt et SharpDPAPI. Mimikatz peut également être utilisé pour créer un nouveau certificat, ForgeCert peut également être utilisé à cet effet. Les certificats créés avec ces outils sont signés par les clés privées du certificat CA émis et peuvent être utilisés au sein du domaine. Les certificats restent valables jusqu'à leur révocation ; S’ils ne sont pas révoqués régulièrement, des certificats valides en permanence peuvent émerger, permettant à des acteurs malveillants de rester constamment présents sur le réseau.

Atténuation du Golden Certificate

Certificat d'or Pour atténuer l’attaque, il est nécessaire de sécuriser à la fois les autorités de certification racine et enfants. En raison de leur rôle critique, les AC doivent être dotées de sécurité comme les autres serveurs critiques ; par exemple, contrôleur de domaine. Cela signifie minimiser le nombre d'objets utilisateur ayant accès aux autorités de certification, utiliser les autorités de certification uniquement pour AD CS et surveiller les autorités de certification pour détecter tout signe de violation.

Certificat d'orMesures de sécurité à prendre contre :

  • Çok Faktörlü Kimlik Doğrulama (MFA): Utilisez MFA pour authentifier les utilisateurs privilégiés des systèmes. MFA peut empêcher l’extraction d’un certificat d’autorité de certification et d’une clé privée en empêchant les acteurs malveillants d’accéder à une autorité de certification à l’aide d’informations d’identification volées.
  • Application de contrôle des applications: Une configuration efficace du contrôle des applications sur les autorités de certification empêche l'exécution d'exécutables malveillants tels que Mimikatz.
  • Utilisation du module de sécurité matérielle (HSM) : utilisez HSM pour protéger les éléments de clé pour les autorités de certification. Lorsqu'un HSM est utilisé, la clé privée des autorités de certification ne peut pas être sauvegardée et exportée par des acteurs malveillants.
  • Limitation de l'accès aux autorités de certification AD CS: Autoriser l’accès aux autorités de certification AD CS uniquement aux utilisateurs privilégiés qui ont besoin d’un accès. Cela peut entraîner une diminution du nombre d'utilisateurs dans le groupe de sécurité des administrateurs de domaine, réduisant ainsi le risque que des acteurs malveillants accèdent à une autorité de certification.
  • Limiter les chemins d’accès privilégiés aux serveurs AD CS CA: Limitez les chemins d'accès privilégiés aux serveurs AD CS CA via des serveurs hop-on et des postes de travail administratifs sécurisés où seuls les ports et services requis sont utilisés. Les serveurs AD CS sont classés comme un actif de « niveau 0 » dans le « modèle d'accès aux entreprises » de Microsoft.
  • Utilisation des serveurs AD CS CA uniquement pour AD CS: N'installez aucun service ou application non lié à la sécurité. Cela réduit la surface d’attaque des serveurs AD CS CA, car moins de services, de ports et d’applications peuvent être utilisés pour violer un serveur AD CS CA.

Certificat d'ore Détection

Certificat d'orIl est difficile à détecter car il nécessite de détecter la sauvegarde initiale et l'export d'un certificat CA et de sa clé privée. Les autorités de certification AD CS peuvent être configurées pour activer la journalisation d’audit de certains événements ; cependant, la visibilité sur les sauvegardes des certificats CA reste difficile.

Comment configurer l’audit des événements AD CS CA ?

L’audit des événements AD CS CA n’est pas activé par défaut. Pour configurer la journalisation d’audit pour les autorités de certification AD CS :

  • « Pour les services de certificats dans le cadre de la stratégie de groupe pour les autorités de certification »Auditer l'accès aux objetsActivez l'option '. Ceci est « sous la politique de sécurité »Configuration avancée de la stratégie d'audit' peut être trouvé dans.
  • '' dans l'onglet Audit dans les propriétés de l'autorité de certificationSauvegarder et restaurer la base de données CAActivez ' comme événements à auditer.

L'événement 4876 est déclenché lorsqu'une sauvegarde complète de la base de données CA est demandée. Cela se produit lorsque l'option « Base de données de certificats et journal de la base de données de certificats » est sélectionnée dans l'assistant de sauvegarde. Si seule l'option 'Clé publique et certificat CA' est sélectionnée, cet événement ne sera pas généré. Par conséquent, cet événement ne peut pas être fiable pour détecter toutes les tentatives de sauvegarde.

Les journaux Windows CAPI2 peuvent capturer les événements d'exportation de certificats. Cette journalisation doit être activée dans l’Observateur d’événements sur les autorités de certification. Lorsqu'elle est activée, toute sauvegarde d'un certificat CA et de sa clé privée produit l'événement 70, intitulé « Acquérir la clé privée du certificat ».

ID d'événement détectant les Golden Certificates

ID d'événementsourceInformations
70Journaux CAPI2 à la racine
et AC subordonnées
-
Journaux CAPI2 sur les autorités de certification racine et enfants
Cet événement est généré lorsqu'un certificat est exporté. Cet événement doit être filtré pour vérifier si le champ « subjectName » correspond à un certificat CA.
1102Racine et subordonné
CA
-
Autorités de certification racine et enfants
Cet événement est généré lorsque le journal d'audit « Sécurité » est effacé. Pour éviter d'être détectés, les acteurs malveillants peuvent purger ce journal d'audit pour supprimer les preuves de leurs activités. L’analyse de cet événement peut aider à déterminer si une autorité de certification AD CS a été violée.
4103Racine et subordonné
Autorités de certification – Autorités de certification racine et enfants
Cet événement est généré lorsque PowerShell exécute et enregistre les détails d'exécution du pipeline. Des outils courants tels que Certutil et Mimikatz utilisent PowerShell. L'analyse de cet événement peut indiquer un certificat Gold pour l'exécution PowerShell associée à ces outils.
4104Racine et subordonné
Autorités de certification – Autorités de certification racine et enfants
Cet événement est généré lorsque le code est exécuté pour capturer les commandes et les scripts PowerShell. Des outils courants tels que Certutil et Mimikatz utilisent PowerShell. L'analyse de cet événement peut indiquer un certificat Gold pour l'exécution PowerShell associée à ces outils.
4876Racine et subordonné
Autorités de certification – Autorités de certification racine et enfants
Cet événement est déclenché lorsqu'une sauvegarde de la base de données CA est démarrée. Cela ne renvoie aucun journal pour l'exportation de la clé privée, mais pourrait être une indication d'une autre activité potentiellement suspecte se produisant au niveau d'une autorité de certification.

La détection et l'analyse de ces événements sont un Certificat d'orEn plus d’identifier la présence de e, ils peuvent servir de signes avant-coureurs d’une violation potentielle de l’AD CS CA.


Articles similaires – Certificat d’or Active Directory

Commenter