Tests d'intrusion sur Windows
Balayage des stations
Le balayage des stations est un simple enchaînement, de type boule de neige :
- accès à des systèmes,
- obtention d'identifiants supplémentaires,
- accès à d'autres systèmes.
Les outils, tout particulièrement ceux utilisés pour rebondir d'un système vers un autre, peuvent être détectés par certains antivirus. Dans une telle situation, il se révèle souvent plus facile de désactiver l'anti-virus plutôt que de tenter de le contourner. Une autre solution est de déposer les exécutables et outils dans la zone de quarantaine positive de l'antivirus (arborescence contenant des fichiers qui ne seront pas considérés comme hostiles).
Au titre des outils, les présentateurs considèrent que mimikatz est à privilégier.
Il convient malgré tout de faire attention aux éventuels effets de bord de ces accès en chaîne : il faut minimiser les perturbations apportées aux cibles. Il y a plusieurs grandes familles de risques :
- Des risques purement techniques : les outils laissent ou peuvent laisser des artefacts sur les systèmes concernés, voire en perturber le fonctionnement.
- Des risques sociaux : lorsque les auditeurs récupèrent des mots de passe ou obtiennent, d'une façon ou d'une autre, des accès à des systèmes, cela peut provoquer divers remous et ressentiments dans l'entreprise.
Pour éviter ces risques, il faut évidemment rester prudent dans ses opérations. Il peut donc se révéler intéressant de cibler quelques machines spécifiques, plutôt que de balayer tous les postes de travail et tous les serveurs de l'entreprise.