Investigation numérique sur l’annuaire Active Directory avec les métadonnées de réplication - Outil ADTimeline
La réplication de l’annuaire Active Directory entre les machines contrôleurs de domaine permet d’offrir une haute disponibilité de ce service. Ce mécanisme de réplication génère des métadonnées qui permettent de retrouver des informations liées à la modification des objets de cet annuaire. L’ANSSI présentait à la CoRIIN 2019, un outil d’analyse forensique permettant de générer une chronologie partielle des modifications effectuées sur l’annuaire à partir de ces métadonnées.
L’annuaire Active Directory est une cible de choix pour les attaquants et leur but est souvent de devenir « administrateurs du domaine » et de maintenir le plus longtemps possible cet accès dans le système d’information.
Il est donc important, pour les équipes en charge de la sécurité du système d’information de surveiller les changements réalisés sur l’annuaire Active Directory. Cela est réalisé via l’analyse des journaux de sécurité Windows des contrôleurs de domaine, qui sont les machines portant l’annuaire Active Directory.
Toutes les modifications de l’annuaire ne sont cependant pas journalisées par les contrôleurs de domaine, cela dépend de la stratégie d’audit mise en place. De plus, la remonté de ces journaux n’est que malheureusement trop rarement centralisée, analysée et archivée.
En l’absence d’une bonne journalisation, les métadonnées de réplication Active Directory sont indispensables à l’analyste pour retracer une chronologie partielle des modifications effectuées sur l’annuaire. Cette chronologie est partielle car les métadonnées de réplication ne contiennent que la dernière modification de chacun des attributs d’un objet donné, si un même attribut est modifié plusieurs fois un numéro de version est incrémenté.
L’outil ADTimeline récupère donc les métadonnées de réplication d’objets considérés comme d’intérêt dans l’annuaire et dresse une chronologie des modifications à partir de ces informations.
Cet outil écrit en PowerShell se veut efficace et facilement appréhendable par des équipes autres que celles d’investigation numérique. Notamment par les administrateurs Active Directory qui seront les plus à mêmes à détecter une modification sur leur annuaire non conforme à leurs pratiques d’administration.
L’outil ADTimeline, disponible sur le Github de l’agence, est conçu pour être lancé aussi bien directement sur un Active Directory en ligne, que sur un annuaire extrait de l’image disque d’un contrôleur de domaine.
Ces travaux ont été présentés lors de la Conférence sur la réponse aux incidents et l’investigation numérique (CoRIIN) par Léonard Savina.