Introduction à Microsoft ATA (Advanced Threat Analytics)

Microsoft ATA (Advanced Threat Analytics) fait partie de la suite EMS (Entreprise Mobility + Security) qui vous aide à protéger votre système d’information dans sa globalité en se basant sur un élément essentiel d’une organisation qui est l’annuaire Active Directory.

ATA se base essentiellement sur le trafic Active Directory local de l’organisation pour fonctionner, il est aussi capable de prendre plusieurs informations provenant de plusieurs sources de données tels que les journaux d’évènement Windows, ou depuis un SIEM par exemple.
En d’autres termes, Microsoft ATA utilise un moteur d’analyse réseau propriétaire qui lui permet de capturer et d’analyser le trafic réseau de plusieurs protocoles :

Kerberos
RPC, DNS
NTLM, LDAP

Etc…

Une fois le trafic capturé, il est capable grâce à du machine Learning d’analyser le comportement des utilisateurs, des machines et de toutes les entités que constitue votre système d’information pour vous alerter en cas d’attaques informatiques.

Microsoft ATA est capable de détecter toutes sortes d’attaques informatiques connues de nos jours. Il est capable de vous aider à briser les chaines de Cyber attaques qui se composent de trois étapes :

Reconnaissance Générale : c’est la première phase, où l’attaquant essaie d’avoir des informations sur votre environnement interne (c’est-à-dire apprendre votre architecture, voir les composants que vous possédez)
Mouvement latéral : L’attaquant dans cette étape va se propager et étendre sa surface d’attaque au sein du système d’information
Persistance : Cette phase permet à l’attaquant de capturer toutes les informations prises au niveau du système d’information et de capitaliser afin de reprendre son attaque différemment

Ces 3 étapes, sont importantes et si elles sont réalisées, en générale elles font de gros dégâts au niveau des systèmes d’information, de plus, se remettre d’une attaque informatique peut être douloureux financièrement pour une entreprise.

C’est pourquoi Microsoft opte et rachète une société Israélienne spécialisée dans la sécurité et analyse comportemental afin de compléter son offre en sécurité informatique.
ATA détecte et notifie les trois principaux types d’attaques suivantes :

Les attaques malveillantes
Les comportements anormaux
Les risques et problèmes de sécurité

 

Types d’attaques détectées par Microsoft ATA

Microsoft ATA permet de détecter les types d’attaques les plus connues :

Brute Force
Exécution à distance
Faux PAC (MS14 -068)
Pass-the-Ticket
Pass-the-Hash

…

Etc…

Ce contenu vous a plu 🙂 ?

Il s’agit d’un extrait de l’Ultimate Guide sur Microsoft ATA écrit par mon ami Seyfallah TAGREROUT.

Cet eBook vous explique toutes les phases de Design, Architecture, Déploiement et Administration de cette Amazing Technology.

Il est disponible sur BecomeITExpert.com. Consultez cette page pour en savoir plus.

[Information Security News] Important : Nouvelle Vulnérabilité liée à Samba 4 – Active Directory Domain Controller [CVE-2018-1057]

Echo « Hello Security Guys »,

Les équipes Samba ont récemment découvert une vulnérabilité « Critique » sur Samba 4 (Mode : Domain Controller Active Directory) : (CVE-2018-1057)

La bonne nouvelle c’est que cette Vulnérabilité n’impacte en aucun cas Samba en « NT ou File Server » mode.

En outre, selon les informations remontées par l’équipe Samba sur le Wiki.samba, cette Vulnérabilité permettrait à n’importe utilisateur du authentifié de modifier le mot de passe de tout autre utilisateur du réseau et récupérer ses accès, cela inclut également les mots de passes des comptes à « Haut privilèges », tels que les Admins du domaine et Administrateurs locaux.

Cette faille peut être exploitée via une simple connexion LDAP suffit.

Je vous invite à prendre le temps de lire cet article pour en savoir plus sur cette vulnérabilité et les instructions à suivre pour corriger cette faite.

A CORRIGER IMMÉDIATEMENT !!

[IT Security | Ethical Hacking] USB Killer V2.0 – La clé USB –tueuse de PC–

I Just received my USB Killer, V2.0

Une clé USB Killer ? -_______0

But, What Is IT ??

La clé USB Killer a été créée par un russe surnommé Dark Purple

La première version de cette clé USB permettait la destruction d’une partie des composants d’un PC (de Bureau) ou Laptop.

La V2.0 permet en revanche (:D) de griller la carte mère d’un ordinateur en seulement quelques secondes.

Le fonctionnement de cette clé USB Killer 2.0 est relativement simple. Elle est munie de plusieurs condensateurs qui vont jouer leur rôle d’accumulateurs, et d’un convertisseur de courant continu. Quand elle est branchée, la clé reçoit une tension de 5V. Quand les condensateurs sont pleins, la clé envoie pendant une fraction de seconde une tension de 220V qui vont griller la machine sur laquelle elle est connectée. Encore plus puissante et plus dévastatrice que la première version, cette clé USB est capable de cramer à coup sûr n’importe quel appareil comportant un port USB, de la télévision à l’ordinateur en passant par une console de jeu ou encore un smartphone (via l’utilisation d’un support USB /MiniUSB).

Ci-après une vidéo de l’inventeur montrant la puissance de cette clé USB destructrice :

Comment puis-je protéger mes appareils et équipements informatiques contre ce type d’attaque ?

Aujourd’hui, il est devient primordial de se protéger contre ce type d’attaque.

Il existe plusieurs solutions « Soft » mais aussi « Hardware » qui vous permettent de vous protéger contre la destruction de matériel via USB Killer.

Il existe aussi une technique qui consiste simplement à modifier une clé de Registre pour désactiver tous les ports USB d’un PC.

Comment ça marche ?

Lancez Regedit.exe (depuis le Menu « Exécuter » ou « Démarrer »), et naviguez jusqu’au HKLM\System\CurrentControlSet\Services\USBSTOR

Localisez et double-cliquez sur la clé « Start »

Remplacez la valeur 3 par 4 et cliquez sur « OK » pour valider ce changement

Redémarrez votre machine, et voilà le tour est joué :).

[TOOLBOX] RDP Defender : protégez votre infrastructure RDS contre les attaques « Brute-Force »

Dernière Update : 27/10/2017 @22:00

RDP Defender est une sorte de Pare-feu (Firewall) RDP. Il s’agit d’un outil puissant (et gratuit :)) capable de détecter toute tentative d’intrusion de type « Brute-Force » et bloquer les adresses IP dont le nombre de tentatives de connexions dépasse celui spécifié dans les paramètres. RDP Defender vous permet également de définir une liste-blanche (Whitelist) en saisissant les adresses IP autorisées, enfin il fournit un log des tentatives de connexions échouées.

Comme illustré dans la screenshot ci-après, RDP Defender a déjà bloqué plusieurs dizaines de tentatives de connexions provenant de différentes @IP. Cette capture d’écran a été prise depuis l’environnement d’un de mes clients utilisant des VMs Azure (mode IaaS) :

Vous aurez compris, cet outil est une protection puissante contre les tentatives d’attaques RDP.

Il est téléchargeable gratuitement ici.