Bienvenue au Club

ACTIVEDIRECTORY FORENSIC ESCALADE

## Escalade de privilèges dans l’Active Directory

Découvrez comment suite à une intrusion initiale, un attaquant a utilisé une combinaison de techniques pour s’octroyer des droits de privilégiés.

Cette étape vous invite à analyser diverses traces issues des environnements utilisateurs et systèmes pour comprendre les mécanismes mis en œuvre lors de cette phase.

Vous avez accès à de nombreux artefacts issus de systèmes critiques : journaux de sécurité, documents internes et configurations.

L’objectif est de comprendre comment une élévation de privilèges a pu survenir.

Votre analyse devra faire émerger les signes révélateurs de cette escalade, à travers la corrélation des fichiers et la chronologie des événements. Il vous faudra reconstituer la chaîne des faits.

Cote 21 pts

FIC 2026 - Résolution Scénario 2 - Exercice 2 : Bienvenue au Club

Cette section décrit comment retrouver la chaîne d'élévation de privilèges.

Étape 1 : Repérer le guide d'intégration

Dans le dossier SYSVOL/domain/Files/, plusieurs fichiers PDF sont présents. Le joueur doit ouvrir et lire chaque fichier pour identifier le seul contenant le mot de passe par défaut : onboarding.pdf.

À l'ouverture de ce document, une section contient la ligne clef :

Extrait du fichier onboarding.pdf

Le mot de passe par défaut est utilisé sur tous les comptes à leurs créations.

Étape 2 : Identifier le password spraying dans les logs de sécurité

Les logs d'authentification se trouvent dans Logs/SecurityLogs.csv. Ils contiennent plusieurs mois de données (mai à août 2025) avec de nombreuses entrées d'EventID 4624 (succès) et 4625 (échec).

Le joueur doit repérer un motif inhabituel survenu le 21 mai 2025 vers 14h37 :

Multiples échecs 4625 consécutifs sur plusieurs dizaines de comptes.
Tous provenant de la même adresse IP : 192.168.2.222.
Puis une seule connexion réussie (4624) d'un compte de service.

Extrait CSV représentatif :

Extrait des logs de password spraying

On remarque le pattern de password spraying avec une réussite de connexion à un compte particulier.

Étape 3 : Analyser l'historique PowerShell du compte compromis

Dans Desktops/<Compte de service>/PSReadlineHistory.txt, le joueur trouve des logs de commandes PowerShell. Cependant, un simple grep sur des termes comme "gmsa" ou "Set-ADServiceAccount" ne retourne aucun résultat.

Le joueur doit repérer des commandes encodées en Base64 :

Commandes encodées dans l'historique PowerShell

Décodage des commandes

Pour décoder ces commandes, le joueur doit utiliser PowerShell :

$encoded = "UwBlAHQALQBBAEQAUwBlAHIAdgBpAGMAZQBBAGMAYwBvAHUAbgB0ACAALQBJAGQAZQBuAHQAaQB0AHkAIABnAG0AcwBhAF8AZgBpAG4AYQBuAGMAZQAgAC0AUgBlAHAAbABhAGMAZQAgAEAAewBtAHMARABTAC0ATQBhAG4AYQBnAGUAZABBAGMAYwBvAHUAbgB0AFAAcgBlAGMAZQBkAGUAZABCAHkATABpAG4AawA9ACcAQwBOAD0AQQBkAG0AaQBuAGkAcwB0AHIAYQB0AG8AcgAsAEMATgA9AFUAcwBlAHIAcwAsAEQAQwA9AG4AbwB2AGEAdABlAGMAaAAsAEQAQwA9AGwAbwBjAGEAbAAnADsAbQBzAEQAUwAtAEQAZQBsAGUAZwBhAHQAZQBkAE0AUwBBAFMAdABhAHQAZQA9ADIAfQA="
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($encoded))

Les commandes clés décodées traduisent la faille BadSuccessor exploitée pour l'escalade de privilèges.

Le compte gMSA compromis via BadSuccessor est identifié.

Étape 4 : Mise en place d'une tâche planifiée malveillante (persistance)

Le joueur doit désormais trouver par quel moyen l'attaquant a exploité ses droits privilégiés pour maintenir sa persistance.

Toujours dans l'historique PowerShell encodé, on trouve la création d'une tâche planifiée subtilement nommée.

La tâche planifiée SysUpdate exécute quotidiennement à 3h du matin un script malveillant en mode caché.

Gravité Zéro, Sécurité Zéro