L’auteur de la menace a utilisé quelques autres outils de découverte dans l’environnement du client. Tout d’abord, ils ont utilisé AdFind, un outil conçu pour récupérer et afficher des informations à partir d’environnements Active Directory (AD). Entre les mains d’un acteur malveillant, AdFind peut être utilisé à mauvais escient pour l’énumération des comptes d’utilisateurs, l’élévation des privilèges et même l’extraction du hachage de mot de passe.
Dans ce cas, l’auteur de la menace l’a utilisé pour récupérer des informations sur le système d’exploitation à l’aide de la commande adfind.exe -f objectcategory=computer -csv name cn OperatingSystem dNSHostName. La commande spécifie qu’elle souhaite récupérer les valeurs des attributs de nom, de nom commun (CN), de système d’exploitation et de dNSHostName pour chaque objet ordinateur et générer son résultat au format CSV.
L’auteur de la menace a utilisé la commande PowerShell suivante pour collecter des informations sur l’utilisateur et les enregistrer dans un fichier CSV :
Get-ADUser -Filter * -Propriétés * | Select -Property EmailAddress,GivenName,Prenom,DisplayName,sAMAccountName,Title,Department,OfficePhone,MobilePhone,Fax,Enabled,LastLogonDate | Export-CSV “C:\users\public\music\ADusers.csv” -NoTypeInformation -Encoding UTF8
Nous avons également observé que l’auteur de la menace utilisait AccessChk64, un outil de ligne de commande développé par Sysinternals qui est principalement utilisé pour vérifier les autorisations de sécurité et les droits d’accès des objets dans Windows. Bien que l’objectif de l’auteur de la menace pour l’utilisation de l’outil dans ce cas ne soit pas clair, il convient de noter que l’outil peut être utilisé pour obtenir des informations sur les autorisations attribuées aux utilisateurs et aux groupes, ainsi que pour l’élévation des privilèges et l’identification des fichiers. , des répertoires ou des services avec des paramètres de contrôle d’accès faibles.
L’auteur de la menace a ensuite utilisé findstr, un outil de ligne de commande dans Windows utilisé pour rechercher des chaînes ou des expressions régulières dans des fichiers à l’aide de la commande findstr /S /I cpassword \\\sysvol\\policies\*.xml.
Il est possible que le but de cette commande soit d’identifier tous les fichiers XML contenant la chaîne mot de passe. Ceci est intéressant du point de vue de la sécurité puisque mot de passe est associé à une méthode obsolète de stockage des mots de passe dans les préférences de stratégie de groupe dans AD.
to www.trendmicro.com
Abonnez-vous à notre page Facebook: https://www.facebook.com/mycamer.net
Pour recevoir l’actualité sur vos téléphones à partir de l’application Telegram cliquez ici: https://t.me/+KMdLTc0qS6ZkMGI0
Nous ecrire par Whatsapp : Whatsapp +44 7476844931