공격 지표
| 이름 | 설명 | 심각도 |
|---|---|---|
| 의심스러운 DC 비밀번호 변경 | 이름이 Zerologon인 중요한 CVE-2020-1472는 Netlogon 프로토콜에서 암호화 결함을 악용하는 공격으로, 공격자가 임의의 컴퓨터로 도메인 컨트롤러에 Netlogon 보안 채널을 설정하게 해줍니다. 그런 다음 여러 가지 후속 악용 기법을 사용하여 예를 들어 도메인 컨트롤러 계정 비밀번호 변경, 강제 인증, DCSync 공격 등과 같은 권한 상승을 수행할 수 있습니다. ZeroLogon 익스플로잇은 실제 Netlogon 스푸핑된 인증 바이패스(IOA 'Zerologon 악용'에서 해결)를 사용한 후속 악용 활동으로 오인되는 경우가 많습니다. 이 지표는 Netlogon 취약성과 함께 사용할 수 있는 후속 악용 활동 중 하나인 도메인 컨트롤러 컴퓨터 계정 비밀번호 수정에 집중합니다. | critical |
| Zerologon 악용 | Zerologon이라는 취약성은 Windows Server의 중요한 취약성(CVE-2020-1472)과 관련이 있으며 이 취약성은 Microsoft에서 CVSS 점수 10.0점을 받았습니다. 이는 공격자가 Netlogon 원격 프로토콜(MS-NRPC)을 사용해 도메인 컨트롤러에 대해 취약한 Netlogon 보안 채널 연결을 설정할 때 존재하는 권한 상승으로 구성됩니다. 이 취약성을 이용하면 공격자가 도메인을 침해하여 도메인 관리자 권한을 얻을 수 있습니다. | critical |
| 인증되지 않은 Kerberoasting | Kerberoasting은 오프라인 비밀번호 추측을 위해 Active Directory 서비스 계정 자격 증명을 노리는 공격 유형입니다. 이 공격은 서비스 티켓을 요청한 후 서비스 계정의 자격 증명을 오프라인으로 추측하여 서비스 계정에 대한 액세스 권한을 얻으려 합니다. 일반적인 Kerberoasting 방식은 | medium |
| DnsAdmins 악용 | DNSAdmins 악용은 DNSAdmins 그룹 멤버가 MicrosoftDNS 서비스를 실행하는 도메인 컨트롤러의 컨트롤을 탈취하도록 허용하는 공격입니다. DNSAdmins 그룹 멤버에게 Active DirectoryDNS 서비스에서 관리 작업을 수행할 권한이 있습니다. 공격자는 이러한 권한을 남용하여 고도로 권한 있는 컨텍스트에서 악성 코드를 실행할 수 있습니다. | high |
| DPAPI 도메인 백업 키 추출 | DPAPI 도메인 백업 키는 DPAPI 암호를 복구하는 데 필수적인 부분입니다. 다양한 공격 도구가 LSARPC 호출을 사용하여 도메인 컨트롤러로부터 이러한 키를 추출하는 데 집중합니다. Microsoft에서는 이러한 키를 교체하거나 변경하는 데 지원되는 방식이 없다는 사실을 인지하고 있습니다. 따라서 도메인의 DPAPI 백업 키가 손상되는 경우 도메인 전체를 처음부터 새로 만드는 것을 권장하며 이것은 많은 노력과 시간이 필요한 작업입니다. | critical |
| SAMAccountName 가장 | 중요한 CVE-2021-42287의 경우 표준 계정에서 도메인의 권한 상승을 초래할 수 있습니다. 이 결함은 존재하지 않는 sAMAccountName 특성을 포함한 개체를 노리는 요청을 잘못 처리하는 경우 발생합니다. 도메인 컨트롤러가 sAMAccountName 값에서 달러 표시를 찾지 못하면 자동으로 뒤에 달러 표시($)를 추가하는데, 이렇게 하면 표적 컴퓨터 계정을 가장하는 결과를 초래할 수 있습니다. | high |
| NTDS 추출 | NTDS 유출이란 공격자가 NTDS.dit 데이터베이스를 검색하는 데 사용하는 기술을 가리킵니다. 이 파일은 비밀번호 해시나 Kerberos 키와 같은 Active Directory 암호를 저장합니다. 공격자가 액세스한 후 이 파일의 복사본을 오프라인으로 구문 분석하여 Active Directory의 중요한 콘텐츠를 가져오기 위한 DCSync 공격의 대안을 제공합니다. | critical |
| 커버로스팅 | Kerberoasting은 오프라인 비밀번호 해킹을 위해 Active Directory 서비스 계정 자격 증명을 노리는 공격 유형입니다. 이 공격은 서비스 티켓을 요청한 후 서비스 계정의 자격 증명을 오프라인으로 추측하여 서비스 계정에 대한 액세스 권한을 얻으려 합니다. Kerberoasting 공격 지표의 경우 Tenable Identity Exposure의 허니팟 계정 기능을 활성화해야 허니팟 계정에 대한 로그인 시도가 있거나 이 계정에서 티켓 요청을 수신할 때 알림을 보낼 수 있습니다. | medium |
| 대규모 컴퓨터 정찰 | 동일한 소스에서 NTLM 또는 Kerberos 프로토콜을 사용하여 여러 컴퓨터에서 대량의 인증 요청을 수행하는 것은 공격을 나타내는 지표일 수 있습니다. | low |
| 로컬 관리자의 열거 | 로컬 관리자 그룹을 SAMR RPC 인터페이스로 열거했습니다. BloodHound/SharpHound를 사용했을 가능성이 큽니다. | low |
| PetitPotam | PetitPotam 도구를 사용하여 대상 컴퓨터를 원격 시스템에 강제 인증할 수 있으며, 일반적으로 NTLM 릴레이 공격을 수행하는 것을 목적으로 합니다. PetitPotam에서 도메인 컨트롤러를 표적으로 삼는 경우, 공격자가 다른 네트워크 시스템에 인증하여 도메인 컨트롤러의 인증을 릴레이할 수 있습니다. | critical |
| 비밀번호 스프레잉 | 비밀번호 스프레잉은 몇 가지 일반적으로 사용하는 비밀번호로 많은 수의 계정(사용자 이름)에 액세스하려고 시도하는 공격이며, '로우 앤 슬로우' 방식이라고도 합니다. | medium |
| 비밀번호 추측 | brute-force 비밀번호 추측 공격은 가능한 모든 비밀번호와 암호를 제출하여 맞는 것을 찾을 때까지 확인하는 과정으로 구성됩니다. | medium |
| DCShadow | DCShadow는 또 다른 후기 단계 kill chain 공격으로, 권한이 있는 자격 증명을 가진 공격자가 악성 도메인 컨트롤러를 등록하여 도메인 복제를 통해 도메인으로 변경 사항을 푸시하도록 허용합니다. | critical |
| OS 자격 증명 덤핑: LSASS 메모리 | 사용자가 로그온한 후 공격자가 로컬 보안 권한 하위 시스템 서비스(LSASS)의 프로세스 메모리에 저장된 자격 증명 정보에 액세스하려고 시도할 수 있습니다. | critical |
| Golden Ticket | Golden Ticket 공격은 Active DirectoryKey Distribution Service 계정(KRBTGT)에 대한 제어권을 얻어 그 계정을 사용해 유효한 Kerberos Ticket Granting Tickets(TGTs)를 만듭니다. | critical |
| DCSync | Mimikatz의 DCSync명령을 사용하면 공격자가 도메인 컨트롤러를 시뮬레이션하여 타겟에 코드를 실행하지 않고도 비밀번호 해시와 암호화 키를 검색할 수 있습니다. | critical |