탐지

지표

Tenable Identity Exposure는 ID 스프롤을 극복하고 공격자가 공격 경로를 악용하기 전에 미리 차단하여 방어를 강화할 수 있도록 돕는 ID 보안 포스처 관리(ISPM) 솔루션입니다. 이 솔루션은 Active Directory와 Entra ID 및 Okta와 같은 클라우드 ID 공급자를 계속 분석하여 구성 오류, 과도한 권한 및 위험한 트러스트 관계를 밝혀냅니다. Tenable은 실시간 위험 노출 지표와 공격 지표를 사용해 하이브리드 환경 전체의 ID 위험을 심층적으로 가시화하며, 침해 조건이 심화되기 전에 팀원들이 우선 순위를 지정하고 가장 중요한 항목부터 수정할 수 있도록 지원합니다.

RSS 피드

검색

공격 지표

  • DCShadow
    critical

    DCShadow는 또 다른 후기 단계 kill chain 공격으로, 권한이 있는 자격 증명을 가진 공격자가 비정상적인 도메인 컨트롤러를 공격하여 도메인 복제를 통해 도메인으로 임의의 변경 사항을 푸시하도록 허용합니다(예: 금지된 sidHistory 값 적용).

  • 로컬 관리자의 열거
    low

    로컬 관리자 그룹을 SAMR RPC 인터페이스를 사용해 열거했습니다. BloodHound/SharpHound를 사용했을 가능성이 큽니다.

  • Zerologon 악용
    critical

    Zerologon이라는 취약성은 Windows Server의 중요한 취약성(CVE-2020-1472)과 관련이 있으며 이 취약성은 Microsoft에서 CVSS 점수 10.0점을 받았습니다. 이는 공격자가 Netlogon 원격 프로토콜(MS-NRPC)을 사용해 도메인 컨트롤러에 대해 취약한 Netlogon 보안 채널 연결을 설정할 때 존재하는 권한 상승으로 구성됩니다. 이 취약성을 이용하면 공격자가 도메인을 침해하여 도메인 관리자 권한을 얻을 수 있습니다.

  • 의심스러운 DC 비밀번호 변경
    critical

    이름이 Zerologon인 중요한 CVE-2020-1472는 Netlogon 프로토콜에서 암호화 결함을 악용하는 공격으로, 공격자가 임의의 컴퓨터로 도메인 컨트롤러에 Netlogon 보안 채널을 설정하게 해줍니다. 그런 다음 여러 가지 후속 악용 기법을 사용하여 예를 들어 도메인 컨트롤러 계정 비밀번호 변경​, 강제 인증, DCSync 공격 등과 같은 권한 상승을 수행할 수 있습니다. ZeroLogon 익스플로잇은 실제 Netlogon 스푸핑된 인증 바이패스(IOA 'Zerologon 악용'에서 해결)를 사용한 후속 악용 활동으로 오인되는 경우가 많습니다. 이 지표는 Netlogon 취약성과 함께 사용할 수 있는 후속 악용 활동 중 하나​인 도메인 컨트롤러 컴퓨터 계정 비밀번호 수정에 집중합니다.

  • OS 자격 증명 덤핑: LSASS 메모리
    critical

    사용자가 로그인한 후 공격자가 로컬 보안 권한 하위 시스템 서비스(LSASS)의 프로세스 메모리에 저장된 자격 증명 정보에 액세스하려고 시도할 수 있습니다.

  • SAMAccountName 가장
    critical

    중요한 CVE-2021-42287의 경우 표준 계정에서 도메인의 권한 상승을 초래할 수 있습니다. 이 결함은 존재하지 않는 sAMAccountName 특성을 포함한 개체를 노리는 요청을 잘못 처리하는 경우 발생합니다. 도메인 컨트롤러가 sAMAccountName 값에서 달러 표시를 찾지 못하면 자동으로 뒤에 달러 표시($)를 추가하는데, 이렇게 하면 표적 컴퓨터 계정을 가장하는 결과를 초래할 수 있습니다.

  • 비밀번호 스프레잉
    medium

    비밀번호 스프레잉은 몇 가지 일반적으로 사용하는 비밀번호로 많은 수의 계정(사용자 이름)에 액세스하려고 시도하는 공격이며, '로우 앤 슬로우' 방식이라고도 합니다.

  • NTDS 추출
    critical

    NTDS 유출이란 공격자가 NTDS.dit 데이터베이스를 검색하는 데 사용하는 기술을 가리킵니다. 이 파일은 비밀번호 해시 및 Kerberos 키와 같은 Active Directory 암호를 저장합니다. 공격자가 액세스한 후 이 파일의 복사본을 오프라인으로 구문 분석하여 Active Directory의 중요한 콘텐츠를 가져오기 위한 DCSync 공격의 대안을 제공합니다.

  • PetitPotam
    critical

    PetitPotam 도구를 사용하여 대상 컴퓨터를 원격 시스템에 강제 인증할 수 있으며, 일반적으로 NTLM 릴레이 공격을 수행하는 것을 목적으로 합니다. PetitPotam에서 도메인 컨트롤러를 표적으로 삼는 경우, 공격자가 다른 네트워크 시스템에 인증하여 도메인 컨트롤러의 인증을 릴레이할 수 있습니다.

  • DPAPI 도메인 백업 키 추출
    critical

    DPAPI 도메인 백업 키는 DPAPI 암호를 복구하는 데 필수적인 부분입니다. 다양한 공격 도구가 LSARPC 호출을 사용하여 도메인 컨트롤러로부터 이러한 키를 추출하는 데 집중합니다. Microsoft에서는 이러한 키를 교체하거나 변경하는 데 지원되는 방식이 없다는 사실을 인지하고 있습니다. 따라서 도메인의 DPAPI 백업 키가 손상되는 경우 도메인 전체를 처음부터 새로 만드는 것을 권장하며 이것은 많은 노력과 시간이 필요한 작업입니다.


모든 공격 지표 보기

위험 노출 지표

  • BadSuccesor 위험한 dMSA 권한
    critical

    BadSuccesor는 Windows Server 2025에서 dMSA를 악용하는 Active Directory 권한 상승 결함으로, 공격자가 계정 링크를 조작하여 도메인을 손상할 가능성이 있습니다.

  • 필수가 아닌 그룹
    low

    비어 있거나 멤버가 하나뿐인 그룹이 없는지 확인합니다.

  • 중요한 Exchange 권한
    critical

    Exchange 리소스에 영향을 미치거나 Exchange 그룹에 할당된 안전하지 않을 수 있는 권한을 파악합니다.

  • 지원되지 않거나 오래된 Exchange 서버
    high

    Microsoft에서 더 이상 지원하지 않는 Exchange 서버와 최신 누적 업데이트가 없는 Exchange 서버를 탐지합니다.

  • Exchange 위험한 구성 오류
    high

    Exchange 리소스 또는 기본 Active Directory 스키마 개체에 영향을 미치는 구성 오류를 목록으로 표시합니다.

  • 하이브리드 Entra ID 정보
    low

    Microsoft Entra ID와 동기화된 리소스에 관해 온프레미스 Active Directory 환경에서 하이브리드 사용자 및 컴퓨터와 같은 정보를 수집합니다.

  • Exchange 그룹 멤버
    high

    중요한 Exchange 그룹의 비정상 계정

  • 서비스 계정 구성 오류
    medium

    도메인 서비스 계정의 잠재적 구성 오류를 표시합니다.

  • 충돌하는 보안 주체
    low

    중복된(충돌하는) 사용자, 컴퓨터 또는 그룹이 없는지 검사합니다.

  • Shadow Credentials
    high

    "Windows Hello for Business" 기능 및 그와 관련된 키 자격 증명에서 Shadow Credentials 백도어와 구성 오류를 탐지합니다.


모든 위험 노출 지표 보기