지표

이름이 Zerologon인 중요한 CVE-2020-1472는 Netlogon 프로토콜에서 암호화 결함을 악용하는 공격으로, 공격자가 임의의 컴퓨터로 도메인 컨트롤러에 Netlogon 보안 채널을 설정하게 해줍니다. 그런 다음 여러 가지 후속 악용 기법을 사용하여 예를 들어 도메인 컨트롤러 계정 비밀번호 변경​, 강제 인증, DCSync 공격 등과 같은 권한 상승을 수행할 수 있습니다. ZeroLogon 익스플로잇은 실제 Netlogon 스푸핑된 인증 바이패스(IOA 'Zerologon 악용'에서 해결)를 사용한 후속 악용 활동으로 오인되는 경우가 많습니다. 이 지표는 Netlogon 취약성과 함께 사용할 수 있는 후속 악용 활동 중 하나​인 도메인 컨트롤러 컴퓨터 계정 비밀번호 수정에 집중합니다.

Zerologon이라는 취약성은 Windows Server의 중요한 취약성(CVE-2020-1472)과 관련이 있으며 이 취약성은 Microsoft에서 CVSS 점수 10.0점을 받았습니다. 이는 공격자가 Netlogon 원격 프로토콜(MS-NRPC)을 사용해 도메인 컨트롤러에 대해 취약한 Netlogon 보안 채널 연결을 설정할 때 존재하는 권한 상승으로 구성됩니다. 이 취약성을 이용하면 공격자가 도메인을 침해하여 도메인 관리자 권한을 얻을 수 있습니다.

Kerberoasting은 오프라인 비밀번호 추측을 위해 Active Directory 서비스 계정 자격 증명을 노리는 공격 유형입니다. 이 공격은 서비스 티켓을 요청한 후 서비스 계정의 자격 증명을 오프라인으로 추측하여 서비스 계정에 대한 액세스 권한을 얻으려 합니다. 일반적인 Kerberoasting 방식은 Kerberoasting IOA에서 다룹니다. 지표 이름에 언급된 것과 같이, Kerberoasting 공격에는 많은 탐지를 우회할 수 있는 은밀한 접근 방식을 통한 또 다른 방법이 있습니다. 고급 공격자는 대부분의 탐지 추론에 띄지 않기 위해 이 방법을 선호할 수 있습니다.

DNSAdmins 악용은 DNSAdmins 그룹 멤버가 MicrosoftDNS 서비스를 실행하는 도메인 컨트롤러의 컨트롤을 탈취하도록 허용하는 공격입니다. DNSAdmins 그룹 멤버에게 Active DirectoryDNS 서비스에서 관리 작업을 수행할 권한이 있습니다. 공격자는 이러한 권한을 남용하여 고도로 권한 있는 컨텍스트에서 악성 코드를 실행할 수 있습니다.

DPAPI 도메인 백업 키는 DPAPI 암호를 복구하는 데 필수적인 부분입니다. 다양한 공격 도구가 LSARPC 호출을 사용하여 도메인 컨트롤러로부터 이러한 키를 추출하는 데 집중합니다. Microsoft에서는 이러한 키를 교체하거나 변경하는 데 지원되는 방식이 없다는 사실을 인지하고 있습니다. 따라서 도메인의 DPAPI 백업 키가 손상되는 경우 도메인 전체를 처음부터 새로 만드는 것을 권장하며 이것은 많은 노력과 시간이 필요한 작업입니다.

중요한 CVE-2021-42287의 경우 표준 계정에서 도메인의 권한 상승을 초래할 수 있습니다. 이 결함은 존재하지 않는 sAMAccountName 특성을 포함한 개체를 노리는 요청을 잘못 처리하는 경우 발생합니다. 도메인 컨트롤러가 sAMAccountName 값에서 달러 표시를 찾지 못하면 자동으로 뒤에 달러 표시($)를 추가하는데, 이렇게 하면 표적 컴퓨터 계정을 가장하는 결과를 초래할 수 있습니다.

NTDS 유출이란 공격자가 NTDS.dit 데이터베이스를 검색하는 데 사용하는 기술을 가리킵니다. 이 파일은 비밀번호 해시나 Kerberos 키와 같은 Active Directory 암호를 저장합니다. 공격자가 액세스한 후 이 파일의 복사본을 오프라인으로 구문 분석하여 Active Directory의 중요한 콘텐츠를 가져오기 위한 DCSync 공격의 대안을 제공합니다.

Kerberoasting은 오프라인 비밀번호 해킹을 위해 Active Directory 서비스 계정 자격 증명을 노리는 공격 유형입니다. 이 공격은 서비스 티켓을 요청한 후 서비스 계정의 자격 증명을 오프라인으로 추측하여 서비스 계정에 대한 액세스 권한을 얻으려 합니다. Kerberoasting 공격 지표의 경우 Tenable Identity Exposure의 허니팟 계정 기능을 활성화해야 허니팟 계정에 대한 로그인 시도가 있거나 이 계정에서 티켓 요청을 수신할 때 알림을 보낼 수 있습니다.

동일한 소스에서 NTLM 또는 Kerberos 프로토콜을 사용하여 여러 컴퓨터에서 대량의 인증 요청을 수행하는 것은 공격을 나타내는 지표일 수 있습니다.

로컬 관리자 그룹을 SAMR RPC 인터페이스로 열거했습니다. BloodHound/SharpHound를 사용했을 가능성이 큽니다.

WSUS(Windows Server Update Services)와 관련하여 잘못된 구성된 매개 변수를 목록으로 나열합니다.

Checks that the "Distributed File System Replication" (DFS-R) mechanism replaced the "File Replication Service" (FRS).

Active Directory 계정의 취약성을 높일 수 있는 비밀번호 약점을 확인합니다.

도메인에서 랜섬웨어로부터 보호하는 강화 조치를 구현하도록 합니다.

Windows 공개 키 인프라(PKI)와 관련된 위험한 권한과 잘못 구성한 매개 변수를 목록으로 나타냅니다.

도메인 컴퓨터에 적용된 그룹 정책 개체(GPO)가 적절한지 확인합니다.

권한 있는 사용자가 권한이 낮은 컴퓨터에 연결하면 자격 증명 탈취 위험이 발생할 수 있으니 확인해야 합니다.

CVE-2020-1472("Zerologon")는 Netlogon 프로토콜에 영향을 미치고 권한 상승을 허용합니다.

Credential roaming 특성에 취약성이 있어서 사용자가 보호하는 관련 암호를 공격자가 읽을 수 있습니다.

개체를 검사하여 도메인 사용자가 읽을 수 있는 특성에 일반 텍스트 비밀번호를 포함할 가능성이 있는지 확인합니다.