Il y a deux mois jour pour jour, Intrinsec eu le plaisir d’accueillir la deuxième session de TripleSec.
TripleSec est un événement de sécurité informatique francophone (type Tech Talk) qui vise à faire découvrir trois sujets techniques avant d’échanger autour d’un verre, avec 3 présentations de sécurité par session et un buffet offert par l’entreprise dans laquelle l’événement aura lieu.
Les trois présentations de cette deuxième édition de TripleSec étaient :
- Bypassing Microsoft JEA role capabilities for fun & profit
- Linkedin dans les campagnes de phishing
- Présentation de BloodHound
Vous pouvez retrouver les programmes et présentations des éditions précédentes de TripleSec sur le site officiel.
BloodHound 101
Le sujet présenté par Intrinsec concernait l’outil de cartographie de l’environnement Active Directory BloodHound.
Cet outil utilise la théorie des graphes pour révéler les relations cachées et souvent involontaires dans un environnement Active Directory. Les attaquants peuvent utiliser BloodHound pour identifier facilement les chemins de compromission très complexes qu’il serait autrement impossible d’identifier rapidement.
Durant cette présentation nous avons adressé les points suivants :
- Introduction – Description des différents éléments composants l’outil BloodHound et prise en main de celui-ci
- Cypher Queries – Explication de la sémantique des cypher queries
- Analytics Queries – Présentation des cypher queries par défaut et personnalisées, utilisées notamment lors de nos missions de Red Teaming et de TI interne
- RETEX – Retour d’expérience sur les différents scénarios de compromission du domaine Active Directory (exploitation des mauvaises pratiques d’administration, mauvaise configuration des DACL, …)
- Recommandations – Présentation des techniques de détection et de réduction des risques résiduels (Adversary Resilience Methodology)
Les slides peuvent être téléchargées via l’URL suivante:
Une présentation plus détaillée de BloodHound pourra cependant faire l’objet d’un article dédié sur le sujet. Stay tuned 😉
En attendant, si vous souhaitez avoir plus d’informations sur l’outil et son utilisation rendez-vous sur le GitHub officiel et sur le Slack dédié, mis en place par Specterops.
Prochaine édition
La troisième édition de TripleSec est prévue pour la semaine prochaine (le 16 mai) et aura lieu chez nos confrères de Onepoint :
Onepoint Paris, 29 Rue des Sablons, 75116 Paris
L’ensemble des places est parti très vite, mais vous pourrez suivre toutes les actus concernant les prochaines éditions sur le Twitter officiel @TripleSec_Conf.