BloodHound est un outil permettant de cartographier un environnement Active Directory en le représentant sous forme de graphe. Cette représentation offre alors toute la puissance de la théorie des graphes pour découvrir des chemins d’attaque qui auraient été autrement difficiles voire impossibles à détecter.

Active Directory

En environnement Active Directory, la gestion des droits est complexe, très complexe. Il n’est pas rare qu’un utilisateur fasse partie d’un groupe, qui fait partie de 10 groupes, et que l’un des groupes ait le droit de modifier une GPO qui s’applique à une OU, dans laquelle se trouve des utilisateurs avec des droits d’administration sur un groupe de machines, etc. On pourrait trouver des déclinaisons de droits à l’infini.

Le soucis, c’est qu’en tant qu’administrateur d’un système d’information complexe, ces délégations de droits sont extrêmement complexes à détecter. En effet, l’administrateur regarde les listes de droits qu’a un utilisateur ou un groupe sur un objet en particulier. Il existe parfois plusieurs dizaines de droits différents qui peuvent être appliqués sur un objet.

Voici un exemple d’une liste d’ACE (Access Control Entry) que l’on peut trouver sur un objet “GPO”.

La barre de défilement à droite montre que le nombre d’entrées possibles est très important. Imaginez alors qu’il y a des entrées comme celles-ci sur tous les objets de l’Active Directory, que certains droits peuvent s’appliquer via délégation, qu’il y a des groupes inclus dans d’autres groupes, héritant des droits des groupes parents, etc.

C’est là qu’entre en jeu l’outil BloodHound. Quand la vision en mode liste des droits est un calvaire, la vision en mode graphe apporte quant à elle une clarté et un recul extrêmement valorisants.

BloodHound

BloodHound est un outil développé par @wald0, @Harmj0y et @CptJesus, dont j’ai parlé dans l’article sur les GPO. L’idée de cet outil est d’analyser un environnement Active Directory en énumérant les différents objets de l’environnement, et en les liant avec des relations. Par exemple, si un utilisateur support-account est membre du groupe support, l’utilisateur sera lié par la relation MemberOf au groupe.

C’est une visualisation assez claire d’une appartenance, mais l’outil ne s’arrête pas là. Il permet de voir également que le groupe support fait partie du groupe DOMAIN ADMINS, donc par héritage, le compte support est un administrateur de domaine.

Et en fait, ce n’est pas tout, si on demande de lister l’ensemble des groupes auxquels appartient support, on se rend compte qu’il appartient finalement à beaucoup d’autres groupes !

Bien entendu, il existe bien d’autres “relations” entre les objets. A l’heure de cet article, voici la liste des relations disponibles.

On notera par exemple AdminTo, HasSession, GenericAll ou encore AddAllowedToAct.

Nous avons donc un ensemble d’objets liés entre eux par des relations. Il est alors possible de trouver des chemins en utilisant la théorie des graphes.

Théorie des graphes

La théorie de graphes s’appuie sur une représentation “graphe” des données. C’est un modèle constitué de noeuds (ici les objets de l’Active Directory) et d’arêtes (ici les relations entre les objets).

Les arêtes peuvent être orientées ou non. Dans le cas de BloodHound, elles le sont toujours. Cela signifie que pour aller d’un noeud A à un noeud B, il faut qu’ils soient reliés par une arête allant de A vers B. L’autre sens ne fonctionne pas.

Une fois que nous avons ces noeuds reliés par des arêtes, nous pouvons chercher des chemins particuliers pour partir d’un noeud de départ et arriver à un noeud de destination, en passant par tout un ensemble de noeuds. Il existe souvent plusieurs chemins possibles, et la théorie des graphes permet de trouver les chemins les plus courts pour relier deux points particuliers.

Ainsi, le graphe suivant est constitué de 7 noeuds et 9 arêtes.

Si nous avons réussi à prendre la main sur le noeud le plus à gauche, et que nous souhaitons atteindre le noeud le plus à droite, car c’est le noeud Administrateur de domaine, la théorie des graphes permet de trouver le chemin le plus court entre les deux.

Un attaquant ayant cette information saura comment se déplacer dans le réseau pour atteindre son objectif en un minimum d’étapes.

Prenons comme exemple un environnement Active Directory. Il est composé d’un grand nombre de noeuds.

Si nous compromettons l’utilisateur JDOE, voici le chemin le plus court pour atteindre le groupe DOMAIN ADMINS.

Comme on peut le voir, le chemin “le plus court” est finalement long, ce qui laisse présager une grande complexité des droits dans ce système d’information. Utiliser BloodHound permet, malgré cette complexité, d’extraire simplement et clairement un chemin d’attaque depuis un utilisateur qui à priori n’avait pas de droits particuliers.

Pour pouvoir traiter ces informations en mode graphe, BloodHound utilise la base de données “Neo4j”, orientée graphe pour stocker les informations récoltées.

Fonctionnement

L’outil BloodHound manipule plusieurs données, récoltées par différentes techniques.

D’abord, afin de récolter les informations relatives à l’annuaire, il est nécessaire de les demander à un contrôleur de domaine. En effet, si nous sommes en possession d’un compte de domaine, même s’il n’a aucun droit particuliers, nous pouvons parcourir l’ensemble des utilisateurs, des machines, des GPO, lire les ACL, et d’autres informations.

Par ailleurs, jusqu’à récemment, il était possible de demander aux différentes machines la liste de leurs groupes locaux, ce qui permettait de savoir qui était administrateur local de quelle machine en corrélant cette information avec l’appartenance des utilisateurs aux différents groupes.

Ensuite, nous sommes en mesure d’énumérer les sessions distantes sur les machines via la commande net session \\computer. Un exemple de sortie de cette commande est la suivante :

net session \\computer

Computer      User name                Client type  Opens   Idle time
---------------------------------------------------------------------
\\SOURCE      SUPPORT-ACCOUNT          Windows 7    1       00:00:13

Cette commande permet de savoir que l’utilisateur SUPPORT-ACCOUNT a demandé une ressource sur computer depuis le host SOURCE. Cette information permet d’affirmer que SUPPORT-ACCOUNT a en ce moment une session active sur SOURCE. C’est une information importante puisqu’elle indique que le secret d’authentification de support-account est présent dans la mémoire de lsass sur la machine SOURCE.

Ces différentes informations (non exhaustives) sont récoltées via le collecteur SharpHound, et sont enregistrées sous un format json dans différents fichiers.

Ces fichiers sont ensuite importés dans BloodHound qui les stocke dans la base de données Neo4j. Une fois l’import terminé, l’interface graphique BloodHound permet de visualiser rapidement ces données via des requêtes préparées ou des requêtes personnalisées.

Il est également possible de directement envoyer les requêtes dans l’interface de Neo4j, ce qui peut être utile pour extraire des données sous forme de tableau, par exemple.

Requêtes

Au dela des requêtes proposées par BloodHound, il est possible d’écrire ses propres requêtes. Je ne vais pas écrire ici un tutoriel à ce sujet, pour la raison suivante : CptJesus a écrit l’article BloodHound: Intro to Cypher dans lequel il décrit en détail le fonctionnement des requêtes dans BloodHound et dans Neo4j. Elles sont appelées “Cypher Queries”.

Vous pouvez également aller lire le papier de SadProcessor appelé The Dog Whisperer’s Handbook qui présente BloodHound et introduit le langage de requête.

Je vous laisse ainsi le soin d’aller lire ces articles afin de comprendre le fonctionnement de ce langage.

Sachez cependant qu’il est possible d’activer le mode “debug” dans BloodHound permettant d’afficher les requêtes effectuées lorsque vous cliquez sur un bouton dans l’interface graphique.

Cette requête peut ensuite être rejouée dans Neo4j si besoin.

Pour tout de même montrer un exemple de requête, voici à quoi ça ressemble :

MATCH p=(n:User {name:"SUPPORT-ACCOUNT@ADSEC.LOCAL"})-[r:MemberOf*1..]->(g:Group) RETURN p

Cette requête permet de lister la hiérarchie des groupes auxquels appartient l’utilisateur support-account. Pour cela, elle peut être découpée en 2 parties.

La première partie MATCH indique ce que l’on recherche. Ce qu’on trouve entre parenthèse indique les noeuds, et entre crochets les relations.

Nous cherchons donc un noeud n de type User ayant une relation r de type MemberOf vers un noeud g de type Group. Le contenu entre accolades permet d’appliquer un filtre, ici un filtre sur le nom SUPPORT-ACCOUNT@ADSEC.LOCAL.

Dans la partie relation entre crochets, nous indiquons que cette relation doit être présente une ou plusieurs fois (*1..).

La deuxième partie RETURN indique ce que nous souhaitons retourner suite à la recheche. Ici, nous souhaitons retourner la relation dans son ensemble, que nous avons assignée à la variable p.

Nous aurions pu décider de seulement lister les groupes, sans lister les relations. Pour cela, il suffit de seulement retourner les noeuds g.

Pour des requêtes plus complexes, les liens donnés précédemment vous permettront de creuser le sujet.

Tips & tricks

Voici une liste de quelques petites astuces ou informations qui peuvent être importantes ou utiles.

Dark mode

La première, et de loin la plus importante, c’est le mode sombre de l’interface graphique !

Ce mode permet d’avoir une interface sombre et classe, ce qui est super agréable. Voilà, c’est beau, mais c’est tout.

Clic droit

Lorsqu’il y a une relation entre deux noeuds, vous pouvez faire un “clic droit” sur la relation, et une pop-up vous affichera un grand nombre d’informations extrêmement utiles.

Vous ne savez pas comment exploiter le lien GenericAll ?

Pas de problème, un clic droit sur le lien permet d’afficher la bulle d’aide.

Elle contient toutes les informations nécessaires pour prendre la main sur la machine de destination.

Owned

Lors de l’avancement de votre test d’intrusion, vous allez compromettre des machines, des utilisateurs, des groupes. Afin de ne pas perdre le fil, vous pouvez marquer les objets comme “owned” après un clic droit sur ceux-ci.

Une icône marquera ces objets par la suite.

Si vous tentez de compromettre un objet en particulier, vous pouvez maintenant demander le chemin d’attaque le plus court depuis vos cibles déjà compromises.

Filtres

Si vous ne voulez pas afficher certains chemins parce qu’il y a des relations que vous ne savez pas exploiter, ou parce que vous n’avez pas le temps, ou toutes autres raisons, vous pouvez décider de décocher les relations pour qu’elles n’apparaissent plus dans vos requêtes. Pour cela, il suffit de cliquer sur le bouton de filtre, à droite de la barre de recherche, et de cocher et décocher les éléments qui vous intéressent.

Raccourcis

Il existe quelques raccourcis qui peuvent être utiles lors de l’utilisation de BloodHound. Si vous en connaissez d’autres, n’hésitez pas à les partager.

• CTRL : Permet de changer le mode d’affichage du nom des noeuds. En appuyant sur la touche, soit vous afficherez toujours les noeuds, soit vous les afficherez lorsqu’il n’y en a pas trop (la limite peut être définie dans les réglages), soit vous les cachez en permanence, ce qui peut être utile pour anonymiser les captures d’écran.
• CTRL+SHIFT+I : Affiche les outils développeurs. Si vous avez un bug dans l’interface, la console javascript permettra souvent de comprendre l’origine du problème.
• CTRL+R : Recharge l’affichage.

Edition

Lors de la collecte, votre machine a été collectée et vous ne souhaitez pas la voir apparaitre ? Vous vous êtes connecté sur une machine, mais le lien “HasSession” de l’administrateur de domaine n’est plus effectif puisque cette machine a redémarré, effaçant les identifiants tant attendus ? Au contraire, un autre utilisateur s’est connecté sur cette machine ?

Une fois que les données ont été importées dans BloodHound, elles ne sont pas figées. Vous pouvez les modifier à votre guise, soit via un clic droit sur un objet ou une relation pour les supprimer, soit via un clic droit dans l’arrière plan pour ajouter un noeud ou une relation.

Notes & Captures d’écran

De la même manière, vous pouvez sauvegarder des informations sur des objets de l’Active Directory en cliquant sur ceux-ci et en allant dans la section “Notes” dans l’interface de BloodHound.

BloodHound Analytics

Enfin, la même équipe qui a développé BloodHound a également mis à disposition des outils permettant de faire des statistiques sur une extraction BloodHound. Ils sont disponibles sur leur Github, notamment le template bloodhoundanalytics.pbix qui utilise PowerBI.

Voici un exemple pris du tweet de Wald0, qui montre un tableau PowerBI en utilisant le template fourni sur le Github.

Le résultat est superbe, et très explicite pour le management.

Aller plus loin

Une présentation a été faite à la BSides par les trois auteurs en 2016 pour présenter BloodHound.

Les auteurs de l’outil sont également présents sur le Slack dédié. Il y a une grande communauté présente sur ce Slack prête à vous accueillir et à répondre à vos questions. Il y a même un channel #french !

BloodHound n’est pas le seul outil dans son genre. Nous avons un outil franco-français appelé AD Control Paths développé par l’ANSSI. Une présentation a été faite au SSTIC à ce sujet et le PDF associé est très intéressant. Je vous invite vivement à la lire.

Conclusion

Tant que les équipes de défense réfléchiront en mode liste et les attaquants en mode graphe, ces derniers auront une longueur d’avance. C’est pourquoi BloodHound peut également être utilisé en tant qu’outil de défense. Il suffit de lancer une collecte d’information régulièrement et de préparer quelques requêtes pour vérifier l’état de l’Active Directory et pour monitorer son évolution.

BloodHound présente finalement une nouvelle approche pour visualiser les données dans un environnement Active Directory. La modélisation en mode graphe permet de comprendre les relations et intrications complexes des objets et relations dans le système d’information, pour en ressortir des chemins d’attaque ou des comportement anormaux.