Rechercher

Langue

Analyser le trafic AD avec l'outil d'analyse des mouvements latéraux (bêta)

Outils

Description

La Outil d'analyse des mouvements latéraux (bêta) permet aux équipes de sécurité de rechercher les mouvements latéraux actifs dans leurs environnements. L'outil analyse le trafic AD hors ligne et fournit une sortie exploitable sur les comptes suspectés d'avoir été compromis et les machines auxquelles ces comptes ont accédé. L'utilisation régulière de cet outil peut aider de manière significative à détecter les mouvements latéraux à ses débuts et à prendre les mesures nécessaires pour supprimer les entités malveillantes de l'environnement.

Détails

L'outil comprend deux modules : Collector, qui rassemble les journaux d'authentification de l'environnement, et Analyzer, qui analyse ces journaux pour détecter les anomalies d'authentification associées aux modèles de mouvement latéral.

Collector

Le module Event Log Collector rassemble les journaux d'authentification de la manière suivante :

  • Authentifications NTLM : analyse des contrôleurs de domaine pour l'événement Windows 8004.
  • Authentification Kerberos : analyse des machines clientes pour l'événement Windows 4648.

Exigences :

  • Privilèges d'administrateur de domaine.
  • Accès LDAP/S et RPC au DC et au client.
  • Machine Windows avec Python 3.8 ou supérieur.

Sortie : fichier CSV avec les champs suivants : hôte source, destination, nom d'utilisateur, type d'authentification, SPN et horodatages au format %Y/%M/%D %H:%M

Analyzer

L'analyseur fonctionne sur les données fournies par le collecteur, recherchant des modèles de mouvement latéral basés sur les méthodes suivantes :

  • Algorithme Lateral Movement Analyzer (LATMA) : amélioration de l'algorithme Hopper pour détecter les authentifications anormales des utilisateurs.
  • IoC de mouvement latéral : avec les authentifications anormales fournies par LATMA, l'analyseur recherche des séquences et des modèles d'authentification qui indiquent qu'un mouvement latéral actif est en cours.

Exigences :

  • L'analyseur peut être exécuté à partir de machines Windows et Linux.

Sortie :

  • Fichier texte contenant une liste des comptes d'utilisateurs et des machines compromis, et une description ligne par ligne de l'attaque suspectée.
  • Fichier GIF avec visualisation complète du flux d'attaque suspecté.

La bêta version est disponible en téléchargement ci-dessous.