지표

동일한 소스에서 NTLM 또는 Kerberos 프로토콜을 사용하여 여러 컴퓨터에서 대량의 인증 요청을 수행하는 것은 공격을 나타내는 지표일 수 있습니다(BloodHound/SharpHound를 사용했을 가능성이 큼).

이름이 Zerologon인 중요한 CVE-2020-1472는 Netlogon 프로토콜에서 암호화 결함을 악용하는 공격으로, 공격자가 임의의 컴퓨터로 도메인 컨트롤러에 Netlogon 보안 채널을 설정하게 해줍니다. 그런 다음 여러 가지 후속 악용 기법을 사용하여 예를 들어 도메인 컨트롤러 계정 비밀번호 변경​, 강제 인증, DCSync 공격 등과 같은 권한 상승을 수행할 수 있습니다. ZeroLogon 익스플로잇은 실제 Netlogon 스푸핑된 인증 바이패스(IOA 'Zerologon 악용'에서 해결)를 사용한 후속 악용 활동으로 오인되는 경우가 많습니다. 이 지표는 Netlogon 취약성과 함께 사용할 수 있는 후속 악용 활동 중 하나​인 도메인 컨트롤러 컴퓨터 계정 비밀번호 수정에 집중합니다.

Golden Ticket 공격은 Active Directory 키 배포 서비스 계정(KRBTGT)에 대한 제어권을 얻어 해당 계정을 사용해 유효한 Kerberos 티켓 부여 티켓(TGTs)을 만듭니다.

DCShadow는 또 다른 후기 단계 kill chain 공격으로, 권한이 있는 자격 증명을 가진 공격자가 비정상적인 도메인 컨트롤러를 공격하여 도메인 복제를 통해 도메인으로 임의의 변경 사항을 푸시하도록 허용합니다(예: 금지된 sidHistory 값 적용).

DNSAdmins 악용은 DNSAdmins 그룹 멤버가 MicrosoftDNS 서비스를 실행하는 도메인 컨트롤러의 컨트롤을 탈취하도록 허용하는 공격입니다. DNSAdmins 그룹 멤버에게 Active Directory DNS 서비스에서 관리 작업을 수행할 권한이 있습니다. 공격자는 이러한 권한을 남용하여 고도로 권한 있는 컨텍스트에서 악성 코드를 실행할 수 있습니다.

로컬 관리자 그룹을 SAMR RPC 인터페이스를 사용해 열거했습니다. BloodHound/SharpHound를 사용했을 가능성이 큽니다.

Mimikatz의 DCSync명령을 사용하면 공격자가 도메인 컨트롤러를 시뮬레이션하여 타겟에 코드를 실행하지 않고도 비밀번호 해시와 암호화 키를 검색할 수 있습니다.

비밀번호 스프레잉은 몇 가지 일반적으로 사용하는 비밀번호로 많은 수의 계정(사용자 이름)에 액세스하려고 시도하는 공격이며, '로우 앤 슬로우' 방식이라고도 합니다.

PetitPotam 도구를 사용하여 대상 컴퓨터를 원격 시스템에 강제 인증할 수 있으며, 일반적으로 NTLM 릴레이 공격을 수행하는 것을 목적으로 합니다. PetitPotam에서 도메인 컨트롤러를 표적으로 삼는 경우, 공격자가 다른 네트워크 시스템에 인증하여 도메인 컨트롤러의 인증을 릴레이할 수 있습니다.

사용자가 로그인한 후 공격자가 로컬 보안 권한 하위 시스템 서비스(LSASS)의 프로세스 메모리에 저장된 자격 증명 정보에 액세스하려고 시도할 수 있습니다.

DPAPI 도메인 백업 키는 DPAPI 암호를 복구하는 데 필수적인 부분입니다. 다양한 공격 도구가 LSARPC 호출을 사용하여 도메인 컨트롤러로부터 이러한 키를 추출하는 데 집중합니다. Microsoft에서는 이러한 키를 교체하거나 변경하는 데 지원되는 방식이 없다는 사실을 인지하고 있습니다. 따라서 도메인의 DPAPI 백업 키가 손상되는 경우 도메인 전체를 처음부터 새로 만드는 것을 권장하며 이것은 많은 노력과 시간이 필요한 작업입니다.

무차별 대입 비밀번호 추측 공격은 가능한 모든 비밀번호와 암호를 제출하여 맞는 것을 찾을 때까지 확인하는 과정으로 구성됩니다.

Kerberoasting은 오프라인 비밀번호 해킹을 위해 Active Directory 서비스 계정 자격 증명을 노리는 공격 유형입니다. 이 공격은 서비스 티켓을 요청한 후 서비스 계정의 자격 증명을 오프라인으로 추측하여 서비스 계정에 대한 액세스 권한을 얻으려 합니다. Kerberoasting 공격 지표의 경우 Tenable Identity Exposure의 허니팟 계정 기능을 활성화해야 허니팟 계정에 대한 로그인 시도가 있거나 이 계정에서 티켓 요청을 수신할 때 알림을 보낼 수 있습니다.

NTDS 유출이란 공격자가 NTDS.dit 데이터베이스를 검색하는 데 사용하는 기술을 가리킵니다. 이 파일은 비밀번호 해시 및 Kerberos 키와 같은 Active Directory 암호를 저장합니다. 공격자가 액세스한 후 이 파일의 복사본을 오프라인으로 구문 분석하여 Active Directory의 중요한 콘텐츠를 가져오기 위한 DCSync 공격의 대안을 제공합니다.

중요한 CVE-2021-42287의 경우 표준 계정에서 도메인의 권한 상승을 초래할 수 있습니다. 이 결함은 존재하지 않는 sAMAccountName 특성을 포함한 개체를 노리는 요청을 잘못 처리하는 경우 발생합니다. 도메인 컨트롤러가 sAMAccountName 값에서 달러 표시를 찾지 못하면 자동으로 뒤에 달러 표시($)를 추가하는데, 이렇게 하면 표적 컴퓨터 계정을 가장하는 결과를 초래할 수 있습니다.

Kerberoasting은 오프라인 비밀번호 추측을 위해 Active Directory 서비스 계정 자격 증명을 노리는 공격 유형입니다. 이 공격은 서비스 티켓을 요청한 후 서비스 계정의 자격 증명을 오프라인으로 추측하여 서비스 계정에 대한 액세스 권한을 얻으려 합니다. 일반적인 Kerberoasting 방식은 Kerberoasting IOA에서 다룹니다. 지표 이름에 언급된 것과 같이, Kerberoasting 공격에는 많은 탐지를 우회할 수 있는 은밀한 접근 방식을 통한 또 다른 방법이 있습니다. 고급 공격자는 대부분의 탐지 추론에 띄지 않기 위해 이 방법을 선호할 수 있습니다.

Zerologon이라는 취약성은 Windows Server의 중요한 취약성(CVE-2020-1472)과 관련이 있으며 이 취약성은 Microsoft에서 CVSS 점수 10.0점을 받았습니다. 이는 공격자가 Netlogon 원격 프로토콜(MS-NRPC)을 사용해 도메인 컨트롤러에 대해 취약한 Netlogon 보안 채널 연결을 설정할 때 존재하는 권한 상승으로 구성됩니다. 이 취약성을 이용하면 공격자가 도메인을 손상하여 도메인 관리자 권한을 얻을 수 있습니다.

BadSuccesor는 Windows Server 2025에서 dMSA를 악용하는 Active Directory 권한 상승 결함으로, 공격자가 계정 링크를 조작하여 도메인을 손상할 가능성이 있습니다.

비어 있거나 멤버가 하나뿐인 그룹이 없는지 확인합니다.

Exchange 리소스에 영향을 미치거나 Exchange 그룹에 할당된 안전하지 않을 수 있는 권한을 파악합니다.

Microsoft에서 더 이상 지원하지 않는 Exchange 서버와 최신 누적 업데이트가 없는 Exchange 서버를 탐지합니다.

Exchange 리소스 또는 기본 Active Directory 스키마 개체에 영향을 미치는 구성 오류를 목록으로 표시합니다.

Microsoft Entra ID와 동기화된 리소스에 관해 온프레미스 Active Directory 환경에서 하이브리드 사용자 및 컴퓨터와 같은 정보를 수집합니다.

중요한 Exchange 그룹의 비정상 계정

도메인 서비스 계정의 잠재적 구성 오류를 표시합니다.

중복된(충돌하는) 사용자, 컴퓨터 또는 그룹이 없는지 검사합니다.

"Windows Hello for Business" 기능 및 그와 관련된 키 자격 증명에서 Shadow Credentials 백도어와 구성 오류를 탐지합니다.

기본 내장된 게스트 계정이 사용 중지되었는지 확인합니다.

관리형 서비스 계정(MSAs)이 배포되고 잘 구성되도록 보장합니다.

권한 있는 Active Directory 사용자 계정이 Microsoft Entra ID에 동기화되지 않았는지 검사합니다.

권한 있는(계층 0) 계정의 인증 사일로를 구성하는 것과 관련한 단계별 가이드입니다.

DNS 서버 구성이 안전하지 않은 동적 DNS 영역 업데이트를 금지하는지 검사합니다.

WSUS(Windows Server Update Services)와 관련하여 잘못된 구성된 매개 변수를 목록으로 나열합니다.

property sets의 무결성 확인 및 권한 유효성 검사

"Distributed File System Replication"(DFS-R) 메커니즘이 "File Replication Service"(FRS)를 대체했는지 확인합니다.

Active Directory 계정의 취약성을 높일 수 있는 비밀번호 약점을 확인합니다.

도메인에서 랜섬웨어로부터 보호하는 강화 조치를 구현하도록 합니다.

Active Directory Certificate Services(AD CS) 공개 키 인프라(PK)와 관련된 위험한 권한과 잘못 구성한 매개 변수를 목록으로 나타냅니다.

도메인 컴퓨터에 적용된 그룹 정책 개체(GPO)가 적절한지 확인합니다.

권한 있는 사용자가 권한이 낮은 컴퓨터에 연결하면 자격 증명 탈취 위험이 발생할 수 있으니 확인해야 합니다.

CVE-2020-1472("Zerologon")는 Netlogon 프로토콜에 영향을 미치고 권한 상승을 허용합니다.

Credential roaming 특성에 취약성이 있어서 사용자가 보호하는 관련 암호를 공격자가 읽을 수 있습니다.

개체를 검사하여 도메인 사용자가 읽을 수 있는 특성에 일반 텍스트 비밀번호를 포함할 가능성이 있는지 확인합니다.

디렉터리 인프라의 보안을 취약하게 하는 잘못 구성된 중요한 특별 권한을 식별합니다.

개체에 약한 인증서 매핑이 할당되지 않도록 합니다.

강화 GPO가 도메인에 배포되었는지 확인합니다.

Protected Users 그룹의 멤버가 아닌 권한 있는 사용자를 인증합니다.

빈 비밀번호를 허용하는 사용자 계정을 찾습니다.

일반 사용자가 외부 컴퓨터를 도메인에 조인할 수 없음을 확인합니다.

Microsoft Entra Seamless SSO 계정 비밀번호에 대한 정기적인 변경을 보장합니다.

비정상으로 간주되며 지속 수단을 제공할 가능성이 있는 스키마 입력 항목을 목록으로 나열합니다.

Active Directory의 모든 활성 계정 비밀번호를 정기적으로 업데이트하여 자격 증명 탈취 위험을 낮추십시오.

Microsoft Entra Connect 계정에 설정된 권한이 적절한지 확인

일부 도메인 컨트롤러는 위험한 액세스 권한으로 인해 관리자가 아닌 사용자가 관리할 수 있습니다.

특정 사용자 계정에 적용된 일부 비밀번호 정책이 강력하지 않아서 자격 증명 탈취로 이어질 수 있습니다.

중요한 컨테이너(예: 도메인 컨트롤러, OU)에 연결된 GPO 개체와 파일에 할당된 권한이 적절하고 안전한지 확인합니다.

dsHeuristics 특성은 AD 동작을 수정할 수 있지만 일부 필드는 보안에 민감해서 보안 위험을 초래합니다.

도메인 또는 포리스트의 기능 수준이 올바른지 확인하십시오. 이것이 고급 기능과 보안 옵션의 사용 가능성을 결정합니다.

LAPS를 사용하여 로컬 관리 계정을 한 곳에서 안전하게 관리해야 합니다.

약한 Kerberos 구성을 사용하는 계정을 탐지합니다.

루트 개체에 승인되지 않은 사용자가 인증 자격 증명을 유출할 수 있는 안전하지 않은 권한이 있는지 검사합니다.

보안 조치를 우회할 수 있는 Windows 2000 이전 호환 액세스 그룹의 계정 멤버를 확인합니다.

더 이상 사용하지 않는 계정은 권한 있는 그룹에 남겨두어서는 안 됩니다.

Microsoft가 더 이상 지원하지 않아서 인프라 취약성을 높이는 사용되지 않는 시스템을 찾습니다.

SID history 특성에서 권한이 있는 SID를 사용하는 사용자 또는 컴퓨터 계정을 검사합니다.

내부 Active Directory PKI에 배포된 루트 인증서에서 사용한 약한 암호화 알고리즘을 찾습니다.

기본 제공 관리자 계정의 최근 사용 여부를 검사합니다.