언어:
2014년에 Kerberoast라는 새로운 공격 유형이 Kerberos 인증 프로토콜의 내부 메커니즘을 악용하여 권한 있는 도메인 사용자 계정을 표적으로 삼았습니다. 공격자의 목표는 계정의 일반 텍스트 비밀번호를 찾아서 관련 권한을 얻는 것입니다.
이 공격은 단순한 권한이 없는 사용자 계정을 사용하여 Active Directory 환경 내에서 일어날 수 있습니다. 특정 Active Directory 특성(servicePrincipalName
)을 계정에 설정할 경우, 이 계정의 기본 보안이 영향을 받습니다. 이 계정의 비밀번호를 추측할 수 있으며, 여러 번의 비밀번호 입력 시도가 실패한 후 계정을 잠그는 기존 보안 메커니즘은 비밀번호에 대한 무차별 대입 공격을 예방할 수 없습니다.
일반적으로 매우 권한이 높은 일부 계정이 표적이 됩니다(예: 도메인 관리자
그룹 사용자). 이들 계정은 매우 빠르게 완전한 도메인 손상으로 이어질 수 있으므로 이 Kerberos 구성 위협으로부터 보호해야 합니다.
Kerberoasting 공격 지표는 공격자가 이 취약성을 악용하려고 시도하면 보안 인력에게 알림을 보낼 수 있습니다. 그러나 매우 빠르고 완전한 도메인 손상을 일으킬 수 있는 매우 권한이 높은 계정을 보호하기 위해 여전히 기본 문제는 수정할 필요가 있습니다.
권한 있는 계정에는 Service Principal Name이 없어야 합니다.
MITRE ATT&CK - Steal or Forge Kerberos Tickets: Kerberoasting
Sneaky Persistence Active Directory Trick: Dropping SPNs on Admin Accounts for Later Kerberoasting