탐지

의심스러운 "디렉터리 동기화 계정" 역할 할당

HIGH

언어:

설명

Entra ID에는 Entra 서비스 계정에 할당된 기본 제공 역할 "디렉터리 동기화 계정이 있으며, "Microsoft Entra Connect"(이전의 "Azure AD Connect") 또는 "Microsoft Entra Cloud Sync"(이전의 "Azure AD Connect Cloud Sync")에서는 이 역할을 사용하여 온프레미스 Active Directory에서 클라우드 Entra ID로 디렉터리 동기화를 허용합니다.

공격자는 이 역할을 자신이 통제하는 보안 주체(예: 사용자, 서비스 주체 또는 그룹)에 할당하여 권한 상승​ 또는 지속성​을 얻을 수 있습니다. 특히 이 역할은 다음과 같은 이유 때문에 공격자의 관심을 끌 수 있습니다.

  • 이 역할은 여러 중요한 Entra ID 권한을 부여합니다.
  • Entra ID 관리자는 보통 이 역할을 할당하지 않기 때문에, Azure 및 Entra 포털에서 모두 숨겨진 채로 유지되며 Entra 역할 목록 또는 보안 주체의 "할당된 역할" 섹션에서도 빠져 있습니다. 이렇게 은밀한 특징이 있기 때문에 이 역할은 비밀 공격을 수행하는 데 효과적입니다.

이러한 악용 가능성은 다음 Tenable Research 블로그 게시물에 설명되어 있습니다. Entra ID의 "디렉터리 동기화 계정" 역할을 이용한 은밀한 지속성

이 위험 노출 지표는 여러 가지 추론을 사용하여 이 위험한 역할이 할당된 의심스러운 보안 주체를 탐지하며, 특히 해당 보안 주체가 Microsoft Entra Connect 또는 Microsoft Entra Cloud Sync에 일반적으로 사용되는 Entra 서비스 계정에 부합하지 않는 경우에 주목합니다.

솔루션

우선 식별된 의심스러운 보안 주체의 적법성을 평가​하는 것부터 시작합니다.

  • Entra 테넌트가 하이브리드가 아닌 경우(즉 Active Directory와 동기화되지 않은 경우) 이 역할을 할당하면 안 됩니다. 보고된 보안 주체는 남은 요소(어떤 시점에서 테넌트가 하이브리드였던 경우)이거나 불법입니다.
  • 이 보안 주체의 유형이 사용자입니까? 서비스 주체 또는 그룹이 이 역할을 할당받은 적법한 사례가 없습니다.
  • 이 보안 주체는 언제 생성되었습니까? 해당 날짜가 "Microsoft Entra Connect" 또는 "Microsoft Entra Cloud Sync"를 통해 디렉터리 동기화를 설정한 날과 일치합니까?
  • 감사 로그에서: 이 보안 주체가 사용자 업데이트, 만들기, 삭제, 비밀번호 변경과 같은 디렉터리 동기화 작업을 정기적으로 수행합니까?
  • 로그인 로그에서: 이 보안 주체가 귀사 조직에 속할 가능성이 큰 IP 주소에서 정기적으로 인증합니까?
  • Microsoft Entra Connect를 사용하는 경우, 사용자 주체 이름에 예상되는 온프레미스 Microsoft Entra Connect 서버의 이름이 포함되어 있습니까? (예를 들어 서버 이름이 "AADCONNECT"인 경우, 예상되는 UPN은 "Sync_AADCONNECT_@..."). 예상되는 표시 이름으로 "온프레미스 디렉터리 동기화 서비스 계정"이 있습니까?

침해가 의심되는 경우:

  • 포렌식 조사를 수행​하여 공격이 있었는지 확인하고 공격의 시간과 작성자를 파악하고 잠재적 침입 정도를 평가합니다.
  • 감사 로그를 검토​하여 잠재적 악성 행위를 파악합니다.

"디렉터리 동기화 계정" 역할과 해당 담당자는 Azure 포털에 표시되지 않습니다. 이 둘을 보려면 Microsoft Graph PowerShell cmdlet 등의 다른 방법을 사용하거나 API를 직접 사용해야 합니다.

Connect-MgGraph -Scopes "RoleManagement.Read.All"
Get-MgDirectoryRoleMember -DirectoryRoleId (Get-MgDirectoryRole -Filter "RoleTemplateId eq 'd29b2b05-8046-44ba-8758-1e26182fcf32'").Id | Format-List *

아니면, 이제는 사용 중단된 Azure AD PowerShell cmdlets를 사용하는 방법도 있습니다.

Connect-AzureAD
Get-AzureADDirectoryRole -Filter "RoleTemplateId eq 'd29b2b05-8046-44ba-8758-1e26182fcf32'" | Get-AzureADDirectoryRoleMember

마지막으로, 식별된 보안 주체에 이 할당된 역할을 보유할 타당한 이유가 없고 Microsoft Entra Connect 또는 Microsoft Entra Cloud Sync가 해당 역할을 사용하지 않는 경우, 이 역할 할당을 제거해야 합니다. 이 작업은 Remove-AzureADDirectoryRoleMember Azure AD PowerShell cmdlet 또는 Remove-MgDirectoryRoleMemberByRef Microsoft Graph PowerShell cmdlet을 사용하여 수행할 수 있습니다.

지표 세부 정보

이름: 의심스러운 "디렉터리 동기화 계정" 역할 할당

코드명: SUSPICIOUS-DIRECTORY-SYNCHRONIZATION-ACCOUNTS-ROLE-ASSIGNMENT

심각도: High

유형: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 정보: