Kerbrute - A tool to quickly bruteforce and enumerate valid Active Directory accounts through Kerberos Pre-Authentication

John the Ripper - A fast password cracker

hashcat - advanced password recovery tool

<p>Active Directory 계정의 취약성을 높일 수 있는 비밀번호 약점을 확인합니다.</p>


<p>Active Directory 계정 비밀번호에 다양한 문제가 발생할 수 있으며 이로 인해 Active Directory 보안이 저하될 수 있습니다.</p>


초기 액세스

권한 상승

자격 증명 액세스

유효한 계정

무차별 대입

비밀번호 약점 탐지

여러 사용자 계정에서 모두 똑같은 비밀번호를 사용하면 중대한 보안 위험이 발생합니다. 공격자가 이러한 계정 중 하나를 침해하면 비밀번호 스프레잉 공격을 통해 이 취약성을 악용하여 다른 계정에 대한 무단 액세스 권한을 얻을 수 있습니다.


도메인 내 비밀번호 재사용

하나 이상의 권한 있는 계정이 다른 계정과 비밀번호를 공유합니다. 이것은 공격자가 권한이 낮은 계정을 침해하여 악용할 수 있는 직접적인 권한 상승 벡터일 수 있습니다.
이것은 또한 계층 사이에 동일한 비밀번호를 다시 사용하였거나 약한 비밀번호를 사용하여 계층화된 계정을 부적절하게 구성한 것을 나타낼 수도 있습니다.


권한 있는 계정의 도메인 내 비밀번호 재사용

계정 비밀번호가 공개적으로 사용 가능한 침해된 비밀번호 데이터베이스에 표시되는 경우, 꼭 계정이 침해되었음을 나타내지는 않습니다. 그렇지만 이렇게 하면 계정이 비밀번호 추측 또는 오프라인 해킹 공격에 크게 취약해집니다. 그와 같은 비밀번호에 노출되면 계속 사용하기 부적합해집니다. 잠재적인 공격자가 악용해 다른 계정으로 무단 액세스할 수 있기 때문입니다.


보안이 침해된 비밀번호 사용

특정 계정에서 LM(Lan Manager) 해시의 값이 비어 있지 않습니다. 여기서 염두에 두어야 할 중요한 점은 LM 해싱 알고리즘이 NT 해싱 알고리즘보다 상대적으로 약해서 고속 무차별 대입 공격을 당하기 쉽습니다. 따라서 보안을 강화하려면 LM 해시 저장을 방지하고 대신 NT 해시만 저장하도록 우선 순위를 지정하는 것이 좋습니다.


LM 해시가 있는 사용자 계정

특정 사용자 계정이 빈 비밀번호를 사용합니다(NT 해시). 경우에 따라 이러한 계정에 빈 비밀번호가 있어 보안 위험이 발생하기도 합니다. 공격자가 비밀번호를 입력하지 않고도 인증할 수 있기 때문입니다.
계정은 다음과 같은 경우에 비어 있는 비밀번호를 사용할 수 있습니다.
  * 도메인 비밀번호 정책이 minPasswordLength 특성 값을 0으로 설정하고 complexityEnabled 특성 값을 False로 설정했습니다.
  * userAccountControl 특성이 PASSWD_NOTREQD 플래그를 True로 설정했습니다.


빈 비밀번호를 사용하는 사용자 계정(NT 해시)

몇몇 도메인 컨트롤러는 비밀번호가 비어 있으며 Zerologon 취약성을 악용한 결과일 수 있습니다.
이 취약성에는 잠재적인 악용 시나리오가 포함됩니다. 이는 도메인 컨트롤러 비밀번호를 변경하여 공격자가 도메인을 완전히 침해할 수 있게 되는 경우입니다.


빈 비밀번호를 사용하는 도메인 컨트롤러

특정 계정의 비밀번호가 구성된 비밀번호 목록에 표시되거나 sAMAccountName 또는 displayName과 같은 계정 특성과 동일하여 보안이 취약합니다. 따라서 이러한 비밀번호는 고속 무차별 대입 공격을 당할 가능성이 매우 큽니다.


탐지

비밀번호 약점 탐지

high

설명

솔루션

참고 항목

지표 세부 정보

공격자가 알려진 도구