DCSync (Active Directory)

DCSync est une technique d'attaque qui exploite le protocole de réplication MS-DRSR (Directory Replication Service Remote) d'Active Directory pour demander à un Domain Controller de répliquer les credentials de tous les utilisateurs du domaine — sans avoir à s'authentifier sur le DC en tant qu'administrateur local. Un attaquant disposant des privilèges "Replicating Directory Changes" et "Replicating Directory Changes All" (typiquement accordés aux Domain Admins, Enterprise Admins, et au compte AD Connect) peut exfiltrer en quelques secondes le hash NTLM de tous les comptes, y compris krbtgt (permettant ensuite un Golden Ticket).

Outils : mimikatz (`lsadump::dcsync /domain:corp.local /user:Administrator`), impacket-secretsdump, DSInternals. Avantages pour l'attaquant : (1) aucun code exécuté sur le DC = pas de détection par antivirus DC ; (2) ne nécessite que les permissions de réplication, pas l'admin local ; (3) extraction massive en une opération.

Midnight Blizzard, APT29, et de nombreux ransomware operators (Conti, BlackCat) utilisent DCSync comme étape pivotale de leurs intrusions.

Détection : (1) Event ID 4662 sur les DC avec GUID 1131f6aa-9c07-11d1-f79f-00c04fc2dcd2 (DS-Replication-Get-Changes) ou 1131f6ad-9c07-11d1-f79f-00c04fc2dcd2 (DS-Replication-Get-Changes-All) depuis une source non-DC ; (2) Microsoft Defender for Identity alerte natif ; (3) corrélation DRSGetNCChanges RPC. Mitigations : (1) auditer et restreindre qui a les permissions de réplication (Get-ADReplicationAttributeMetadata) ; (2) tiering Active Directory (T0 isolation) ; (3) credential guard, Protected Users, PAW (Privileged Access Workstations) ; (4) rotation krbtgt régulière.