strategie de groupe
Recherche sur les menaces

Identifier les attaques de stratégie de groupe

Nous allons vous présenter une chasse aux menaces qui passe en revue trois modifications apportées par des attaquants au niveau d’un Active Directory compromis et vous explique comment bien les comprendre et surtout les traiter.

Dans cet article, nous aborderons les attaques de stratégie de groupe, en basant la chasse aux menaces sur une investigation de ransomware menée par l’équipe de réponse aux incidents de Sophos X-Ops plus tôt cette année. Nous aborderons également les comportements malveillants associés aux attaques ciblant Active Directory et les stratégies de groupe (Group Policy), en vous montrant comment investiguer et traiter certaines de ces menaces.

Une grande partie du contenu de cet article est également présentée dans la vidéo intitulée “Identifier les attaques liées aux stratégies de groupe (Identifying Group Policy Attacks)”, actuellement diffusée sur notre nouvelle chaîne YouTube Sophos X-Ops. La vidéo vous montre une chasse et une remédiation (à l’aide de Sophos Live Response, une fonctionnalité clé de Sophos Intercept X Advanced with XDR, notre outil d’investigation standard, bien que les chasseurs puissent reproduire ces étapes avec n’importe quel shell Windows).

Cet article passe en revue le même contenu, mais fournit un certain nombre d’informations pratiques facilement exploitables.

Le cas

Dans le cas du ransomware Cyclops en question, l’acteur malveillant a obtenu un premier accès à l’environnement en exploitant une vulnérabilité ProxyShell afin de pirater un serveur Exchange non corrigé. Quatre jours après avoir obtenu l’accès initial, l’acteur malveillant a commencé à lancer son attaque à l’aide de commandes PowerShell codées à partir du shell Web sur le serveur Exchange.

L’attaquant a ensuite désactivé la protection des systèmes endpoint comme technique d’évasion de la défense, et supprimé les logs d’événement Windows ainsi que l’historique du navigateur Internet. L’attaquant a ensuite exploité le protocole RDP (Remote Desktop Protocol) pour effectuer un mouvement latéral vers d’autres machines sur le réseau. Le malware command-and-control Cobalt Strike ainsi que le logiciel d’accès à distance AnyDesk ont ​​été installés sur plusieurs machines afin de maintenir l’accès. Un jour plus tard, l’attaquant a utilisé son accès réseau pour exfiltrer des données vers plusieurs services de stockage hébergés dans le Cloud.

Ensuite, l’attaquant a exploité la stratégie de groupe Active Directory pour distribuer le binaire du ransomware Cyclops aux machines du domaine, créant également une stratégie de groupe pour exécuter le binaire en question à l’aide de tâches planifiées. Dans la dernière étape de l’attaque, les sauvegardes de clichés instantanés de volume ont été supprimées par l’attaquant. Les machines du domaine ont lancé la tâche planifiée, exécutant le binaire du ransomware Cyclops, chiffrant les fichiers et envoyant des demandes de rançon.

Pourquoi cibler la stratégie de groupe ?

Les attaques de stratégie de groupe sont le signe d’une attaque Active Directory plus importante. Lors d’une attaque de stratégie de groupe, les acteurs malveillants peuvent exploiter les objets de stratégie de groupe (Group Policy Objects) existants, tels que le chemin UNC, afin d’exécuter des charges virales malveillantes à partir d’emplacements moins sécurisés prédéfinis au niveau d’un GPO (Group Policy Object), ou l’interception des mots de passe utilisateur définis via la stratégie de groupe avec l’attribut vulnérable cpassword.

Une fois qu’un acteur malveillant a élevé ses privilèges, il crée souvent des GPO pour atteindre des objectifs à plus grande échelle, tels que la désactivation des logiciels et des fonctionnalités de sécurité de base, notamment les pare-feu, les antivirus, les mises à jour de sécurité et la journalisation (logging). Ils peuvent également utiliser des GPO pour déployer des outils malveillants via la création de tâches planifiées, de scripts de démarrage ou de connexion, ou de services pour maintenir la persistance et exécuter des malwares.

Une chasse aux menaces optimisée

Les enquêteurs ont lancé un processus d’investigation et de remédiation visant les ransomwares en collectant tous les témoignages de victimes et les données post-mortem disponibles. À l’aide des outils disponibles, ils ont recherché des indicateurs de compromission dans les artefacts post-mortem standards, tels que les logs d’événement Windows, l’historique PowerShell, les éléments de démarrage, les shellbags, les tâches planifiées, le shimcache, etc.

Lors de l’exécution d’une analyse, si des preuves synchronisées ou récurrentes sont trouvées, une telle découverte peut être une indication clé d’une attaque de stratégie de groupe. Par exemple, lorsqu’une tâche planifiée ou l’exécution d’un fichier est observée sur plusieurs machines, une telle situation indique une exécution à distance ou l’utilisation d’une stratégie de groupe. Lorsque les logs système indiquant l’utilisation d’outils de déploiement logiciel ou de WMI (Windows Management Instrumentation) ne sont pas présents, une telle situation indique que la stratégie de groupe a probablement été compromise. L’utilisation de cette synchronisation malveillante est particulièrement évidente lors de la priorisation (triage), lorsque des tâches planifiées persistantes réapparaissent sur les systèmes après avoir été supprimées.

Une fois qu’une attaque de stratégie de groupe est suspectée, les enquêteurs doivent examiner les objets de stratégie de groupe (Group Policy Objects) sur le contrôleur de domaine, à l’aide de la commande PowerShell get-GPO -All pour tous les répertorier. Le filtrage de ces résultats

Get-GPO -All | Sort-Object ModificationTime -Descending | Format-Table DisplayName, ModificationTime, CreationTime

permet à l’enquêteur de voir les dates/heures exactes de modification et de création, en recherchant des correspondances avec d’autres faits concernant le cas en question. Le tri selon la date/heure à laquelle les fichiers ont été modifiés pour la dernière fois peut conduire à des GPO créés ou modifiés par l’acteur malveillant. À ce stade, il est utile pour l’enquêteur de générer un rapport GPO pour une investigation plus approfondie.

Get-GPOReport -All -ReportType Html -Path "C:\Windows\Temp\Sophos_GPOReport.html”

En examinant le rapport GPO, nous pouvons discerner le but de tous les objets de stratégie de groupe portant des noms suspects. Dans le cas anonymisé de Cyclops utilisé pour notre vidéo, nous avons identifié trois GPO d’apparence suspecte, que nous appelons à des fins de confidentialité “Pawn“, “Rook” et “Queen“.

  • Dans le cas de “Pawn”, l’attaquant a utilisé un GPO pour installer une tâche planifiée sur les ordinateurs du domaine afin d’exécuter le programme rook.exe.
  • Le GPO “Rook” est utilisé pour copier le fichier rook.exe sur les machines jointes au domaine à partir d’un partage administratif sur le serveur de fichiers. Puisqu’il serait logique que l’attaquant lance exactement le même type d’action avec un malware, nous nous sommes rendus immédiatement sur le système local pour voir si une copie était toujours disponible, en utilisant Get-ItemProperty “C:\Windows\rook.exe”. Si tel avait été le cas, un enquêteur aurait pu obtenir la valeur de hachage de ce fichier (en utilisant Get-FileHash “C:\Windows\rook.exe”) et la comparer à celle stockée dans VirusTotal pour voir si ce dernier était connu pour être malveillant ; ce hachage fournit également le moyen de bloquer le fichier dans l’environnement. Il est bien sûr sage de conserver un échantillon du malware pour une analyse post-mortem plus approfondie.
  • Le GPO “Queen” place les états du pare-feu Windows sur “Désactivé“. Il semble également que “Queen” désactive les protections antimalware de Windows Defender, notamment la capacité d’analyse en temps réel.

Les différentes étapes de remédiation

Une fois les comportements malveillants dans votre environnement identifiés, le confinement et la remédiation peuvent commencer via l’outil de gestion des stratégies de groupe sur le serveur de gestion Active Directory.

Tout d’abord, traitons “Queen”, qui compromet les opérations du pare-feu Windows et de Windows Defender. La désactivation de cette stratégie empêchera ces paramètres de remplacer les paramètres Windows locaux par défaut.

C’est ensuite au tour de “Rook” d’être supprimée. La désactivation de cette stratégie empêchera le malware rook.exe d’être copié sur d’autres machines au niveau du réseau. L’exécutable du malware doit également être blacklisté dans les paramètres globaux au niveau de l’ensemble du réseau. Cette action éliminera la capacité du malware à être exécuté à l’avenir : lors d’une nouvelle tentative d’attaque, par exemple, ou dans le cas où une sauvegarde infectée tenterait de lancer de nouveau l’exécutable (une bonne hygiène en matière de sauvegarde est un sujet important à considérer pour les défenseurs, mais ce sujet sort légèrement du cadre de cet article).

Enfin, nous traitons la tâche planifiée malveillante nommée “Pawn”. La désactivation de ce GPO empêche les déploiements supplémentaires de la tâche planifiée sur les ordinateurs du domaine. Le respect de ces différentes étapes de remédiation contribuera à empêcher la propagation d’activités malveillantes sur l’ensemble du réseau.

Ces trois étapes impliquent la désactivation des GPO malveillants, mais cette approche ne suffit pas ; une remédiation appropriée impliquera de prendre des mesures qui lanceront la ou les actions opposées à celles prises par les GPO malveillants. Cette initiative peut être lancée à grande échelle avec des GPO ou via d’autres plateformes de gestion de périphériques. Une autre option, que certaines entreprises peuvent préférer, est le rollback. Si vous choisissez cette dernière option, il est fortement recommandé d’inspecter le matériel archivé pour détecter toute infection ou toute altération indésirable.

Remerciements

Merci à Elida Leite et Rajat Wason qui ont participé à cette recherche.

Billet inspiré de Identifying Group Policy attacks, sur le Blog Sophos.