Attaques Active Directory

Golden Ticket est une attaque de persistance Active Directory (MITRE T1558.001) qui consiste a forger un Ticket Granting Ticket Kerberos arbitraire en signant celui-ci avec le hash NTLM ou les cles AES du compte krbtgt du domaine. Revelee en 2014 par Benjamin Delpy via le module kerberos::golden de Mimikatz, elle exploite le fait que le KDC ne valide que la signature cryptographique du TGT, pas l'existence des comptes encodes. Le ticket forge confere une persistance Domain Admin pouvant atteindre 10 ans, survivant aux changements de mots de passe et aux desactivations. Ce guide entity-first detaille le fonctionnement Kerberos, la fabrication avec Mimikatz, Rubeus et Impacket ticketer.py, la difference avec Silver Ticket, la detection (Event 4769, Defender for Identity) et les mitigations (double rotation krbtgt, AES-only, Tier 0).

Le Silver Ticket (MITRE T1558.002) est une attaque post-exploitation sur Active Directory consistant a forger localement un TGS Kerberos a partir du hash NTLM ou des cles AES d'un compte de service compromis, afin d'acceder a ce service sans solliciter le KDC. Devoile en 2014 par Benjamin Delpy via Mimikatz, il cible typiquement les SPN CIFS, MSSQLSvc, HOST, LDAP ou HTTP. Sa furtivite redoutable provient de l'absence totale de contact avec le DC : aucun Event 4768 ou 4769 n'est genere. Ce guide entity-first detaille le principe cryptographique, les pre-requis (Kerberoasting, DCSync, Pass-the-Hash), la fabrication avec Mimikatz, Rubeus et Impacket ticketer, les services typiques, la detection (Event 4624, PAC validation, Defender for Identity) et les mitigations (gMSA, AES-only, rotation hashes, PAC signature stricte).

DCSync est une attaque de credential dumping (MITRE T1003.006) qui exploite le protocole legitime MS-DRSR de replication Active Directory pour extraire a distance les hashes NTLM de n'importe quel compte du domaine, y compris krbtgt. Formalisee en 2015 par Benjamin Delpy et Vincent Le Toux dans Mimikatz, elle ne necessite aucune execution de code sur le DC cible et abuse une fonctionnalite documentee de Microsoft, sans CVE associe. Ce guide entity-first detaille le fonctionnement protocolaire, les outils (Mimikatz, Impacket secretsdump, Invoke-DCSync), la detection (Event 4662, Defender for Identity, Splunk ES) et les contre-mesures (audit ACL DRS, rotation krbtgt biannuelle, modele Tier 0).

Pass-the-Hash (PtH) est l'une des techniques offensives les plus emblematiques du monde Windows : elle permet a un attaquant de s'authentifier sur un service NTLM en presentant directement le hash NT d'un compte, sans connaitre le mot de passe en clair. Repertoriee MITRE ATT&CK T1550.002, conceptualisee en 1997 par Paul Ashton, popularisee en 2008 par Hernan Ochoa puis massifiee via Mimikatz en 2011, elle reste un vecteur majeur de mouvement lateral en 2026 malgre Credential Guard, LSA Protection, Restricted Admin Mode et le modele Tier.

Page entity sur Active Directory : annuaire LDAP Microsoft (AD DS, AD CS, AD FS, AD LDS, AD RMS), architecture forest/domain/OU, Kerberos, GPO, attaques (Kerberoasting, DCSync, Golden Ticket, ADCS ESC1-15), defenses (Tiering, LAPSv2, MFA, JIT, PAW) et migration vers Entra ID.

Le framework MITRE ATT&CK est la knowledge base de référence des tactiques, techniques et procédures adversaires. Guide complet 2026 : matrices Enterprise/Mobile/ICS/Cloud, Groups, Software, Navigator, Workbench, intégrations SIEM/EDR et use cases Red, Blue et Purple Team.

Mimikatz, l'outil de Benjamin Delpy (gentilkiwi) qui a redéfini les attaques Active Directory : Pass-the-Hash, Golden Ticket, DCSync, LSASS dump, forks (Pypykatz, Lsassy, NanoDump), détection EDR et mitigations Microsoft (Credential Guard, LSA Protection, Tier model).

Cobalt Strike est la plateforme commerciale de Command and Control la plus utilisee au monde pour les operations red team et la simulation d'adversaires. Concue en 2012 par Raphael Mudge, fondateur de Strategic Cyber LLC, elle a ete rachetee en 2020 par HelpSystems puis integree au portefeuille Fortra en 2022. Cobalt Strike fournit un Team Server collaboratif qui orchestre des implants nommes Beacons (HTTP, HTTPS, DNS, SMB, TCP, External C2), un moteur de profils Malleable C2 permettant de modeler le trafic reseau pour mimer des APT connus, ainsi qu'un langage de scripting Aggressor Script base sur Sleep pour automatiser les tactiques.

BloodHound est l'outil de reference open source pour la cartographie des chemins d'attaque dans les environnements Active Directory et Azure AD/Entra ID. Developpe initialement par SpecterOps en 2016, BloodHound exploite la theorie des graphes via une base de donnees Neo4j pour modeliser les utilisateurs, groupes, machines, GPO, OU et leurs relations de privileges. La force de BloodHound reside dans sa capacite a transformer une enumeration brute d'objets AD en un graphe interroge par requetes Cypher, revelant en quelques secondes les chemins d'escalade vers Domain Admin, les relations AdminTo, CanRDP, HasSession ou GenericAll impossibles a detecter manuellement.

Glossaire AD complet : 100 termes sécurité Active Directory — Kerberoasting, DCSync, Golden Ticket, Tiering Model, LAPS, GPO. Définitions et défenses.

Guide complet PrintNightmare (CVE-2021-34527) : exploitation Print Spooler pour RCE et compromission AD, mode opératoire pentest, détection et remédiation.

Guide expert Responder : LLMNR/NBT-NS poisoning, WPAD exploitation, combo ntlmrelayx, cracking NTLMv2, mode opératoire complet pentest AD.