설명

Microsoft Entra 테넌트는 외부 도메인과 페더레이션하여 다른 도메인과의 트러스트를 설정해 인증과 권한 부여에 이용할 수 있습니다. 하지만 악성 행위자가 Microsoft Entra ID에서 상승된 권한을 얻으면 이 페더레이션 방식을 악용해 백도어를 만들 수 있습니다​(자신만의 페더레이션 도메인을 추가하거나 기존 페더레이션 도메인을 편집하여 자체 설정을 포함한 2차 구성을 추가하는 방식을 사용).

확인되지 않은 사용자 지정 도메인을 Entra ID에서 오랫동안 구성된 상태로 두지 않는 것이 좋습니다.

2020년 봄에 Microsoft에서 문제를 해결하기 전에는, 확인되지 않은 새로운 도메인을 사용해 페더레이션 도메인 백도어를 만들 수도 있었습니다. 이 방법은 오픈 소스 공격자 도구 AADInternals에서 New-AADIntBackdoor cmdlet을 사용하여 가능했습니다.

이 위험 노출 지표에서는 Entra ID 환경에 있는 확인되지 않은 사용자 지정 도메인을 모두 나열하여​ 사용자가 도메인이 적법한지 확인할 수 있습니다.

솔루션

이 위험 노출 지표의 발견 사항에 나열된 확인되지 않은 사용자 지정 도메인은 공격자가 만든 잠재적 백도어​일 가능성이 있거나, 백도어를 지원할 가능성이 있으므로 해결해야 합니다.

Azure 포털에서 도메인 목록을 보려면 사용자 지정 도메인 이름 블레이드로 이동하여 '상태' 열에서 '확인되지 않음'으로 표시된 도메인을 찾습니다. 악성 도메인일 가능성이 있는 모든 도메인은 발견 사항에 나열된 것과 이름이 일치할 것입니다. MS Graph API의 PowerShell cmdlet을 사용하면 Get-MgDomain이 있는 도메인을 목록으로 나열할 수 있습니다.

Connect-MgGraph -Scopes "Domain.Read.All"
Get-MgDomain -All | ? { $_.IsVerified -eq $True }

이러한 확인되지 않은 도메인의 구성을 완료하거나 해당 도메인을 제거합니다.

정상이고 신뢰할 수 있는 도메인인 경우, 도메인 등록 기관에 필요한 DNS 항목을 만든 다음 확인 프로세스를 완료해야 합니다.

그렇지 않은 경우, 포렌식 조사를 실시​하여 도메인이 침해되었는지 판단하고 침해 정도를 평가합니다. 사용자 지정 도메인을 추가하려면 일반적으로 '전역 관리자' 역할과 기타 덜 알려진 Entra 역할과 같은 상승된 권한이 필요하므로, 이러한 권한이 오용된 경우에는 Entra ID가 완전히 침해되었을 가능성이 큽니다.

잠재적 포렌식 분석을 위해 증거를 저장​한 후에 도메인이 불법적이라고 판단되면 Remove-MgDomain을 사용해 해당 도메인을 제거합니다. 마지막으로, 공격자가 백도어와 같은 다른 지속성 메커니즘도 마련했을 가능성을 예상해야 합니다. 인시던트 대응 전문가와 상의하여 이와 같은 부가적인 위협이 있는지 파악하고 제거하십시오.

지표 세부 정보

이름: 확인되지 않은 도메인

코드명: UNVERIFIED-DOMAIN

심각도: Low

유형: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 정보: