BloodHound
Qu'est-ce que BloodHound ?
BloodHoundOutil open source qui exploite la theorie des graphes pour cartographier et analyser des chemins d'attaque dans Active Directory et Azure AD vers des cibles a haute valeur comme Domain Admin.
BloodHound est un outil open source d'analyse de chemins d'attaque cree par Andy Robbins, Will Schroeder et Rohan Vazarkar, aujourd'hui maintenu par SpecterOps. Un collecteur (SharpHound ou AzureHound) recupere utilisateurs, groupes, sessions, ACL et relations d'approbation dans Active Directory et Entra ID, puis l'interface BloodHound les represente sous forme de graphe Neo4j en surlignant le plus court chemin entre un principal compromis et les actifs sensibles. Les red teams l'utilisent pour planifier les escalades de privileges et les blue teams pour prioriser le durcissement (Tier 0, elagage d'ACL, reduction d'appartenances). La collecte exige un acces lecture au directory et est suffisamment bruyante pour etre detectable.
● Exemples
- 01
Visualiser le plus court chemin d'un utilisateur helpdesk vers Domain Admin via l'imbrication de groupes.
- 02
La blue team utilise BloodHound pour retirer les droits DCSync inutilises de comptes de service anciens.
● Questions fréquentes
Qu'est-ce que BloodHound ?
Outil open source qui exploite la theorie des graphes pour cartographier et analyser des chemins d'attaque dans Active Directory et Azure AD vers des cibles a haute valeur comme Domain Admin. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie BloodHound ?
Outil open source qui exploite la theorie des graphes pour cartographier et analyser des chemins d'attaque dans Active Directory et Azure AD vers des cibles a haute valeur comme Domain Admin.
Comment fonctionne BloodHound ?
BloodHound est un outil open source d'analyse de chemins d'attaque cree par Andy Robbins, Will Schroeder et Rohan Vazarkar, aujourd'hui maintenu par SpecterOps. Un collecteur (SharpHound ou AzureHound) recupere utilisateurs, groupes, sessions, ACL et relations d'approbation dans Active Directory et Entra ID, puis l'interface BloodHound les represente sous forme de graphe Neo4j en surlignant le plus court chemin entre un principal compromis et les actifs sensibles. Les red teams l'utilisent pour planifier les escalades de privileges et les blue teams pour prioriser le durcissement (Tier 0, elagage d'ACL, reduction d'appartenances). La collecte exige un acces lecture au directory et est suffisamment bruyante pour etre detectable.
Comment se défendre contre BloodHound ?
Les défenses contre BloodHound combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de BloodHound ?
Noms alternatifs courants : BloodHound CE, BloodHound Enterprise.
● Termes liés
- identity-access№ 013
Active Directory
Service d'annuaire d'entreprise de Microsoft pour les réseaux Windows, qui assure l'authentification, l'autorisation et la gestion centralisée des stratégies pour utilisateurs, machines et ressources.
- attacks№ 583
Kerberoasting
Attaque de mot de passe hors ligne qui demande des tickets de service Kerberos pour des comptes de service et casse la portion chiffree afin de retrouver le mot de passe en clair.
- attacks№ 790
Pass-the-Hash
Attaque par reutilisation d'identifiants qui s'authentifie sur des systemes Windows en utilisant un hash NTLM derobe a la place du mot de passe en clair.
- vulnerabilities№ 860
Élévation de privilèges
Catégorie de vulnérabilités permettant à un attaquant d'obtenir des droits supérieurs à ceux accordés initialement, par exemple passer d'un utilisateur standard à administrateur.
- defense-ops№ 606
Mouvement latéral
Tactique MITRE ATT&CK (TA0008) couvrant les techniques permettant à un attaquant de rebondir d'un hôte compromis vers d'autres systèmes de l'environnement.
- attacks№ 447
Golden Ticket
TGT Kerberos forge a l'aide du hash du compte krbtgt, permettant a un attaquant d'usurper n'importe quel principal du domaine.