최근 기술의 진화에 따라 사람들의 데이터에 액세스하는 방법이나 다양한 소프트웨어와 연계시켜 조작하는 방법에 변화가 생겨 워크플레이스에 변화가 가져왔습니다. 조직이 텔레워크의 급격한 증가에 대응할 수 있도록 운영방법에 변경을 실시했기 때문에 최근 몇 년 동안 특히 변화의 속도가 가속되고 있습니다. 그리고 이러한 변화의 대부분은 디지털 ID의 지수적 증가가 관련되어 있습니다.
디지털 ID를 사용하면 사용자는 자신을 전자적으로 식별하고 기업, 소프트웨어 및 서비스 범위 내에서 누구인지 확인할 수 있습니다. 보안된 디지털 ID를 통해 기업은 액세스 관리 및 인증 프로세스를 표준화하여 적절한 사용자에게 적절한 정보를 표시하도록 합니다.
현재 디지털 ID의 공격 대상 영역은 역동적이며 여전히 급속하게 변화하고 있으며 기업은 사용자 데이터를 보호하기 위해 강력한 보안 솔루션을 채택해야합니다. 공격자는 이러한 상황에 처해 이 식별 수단에 조직이 얼마나 의존하고 있는지를 날카롭게 인식하고 있습니다. 디지털 ID의 공격 대상 영역을 타겟팅하는 공격이 증가함에 따라 기업 보안 팀은 위험 범위에 영향을 미치는 일반적인 공격 벡터와 전술을 이해하는 것이 중요합니다.
이 블로그에서는 골든 티켓 공격(Kerberos 인증 프로토콜의 약점을 악용하는 ID 기반 공격)에 대해 자세히 설명합니다. 이 유형의 공격이 어떻게 작동하는지, 관련 침해의 징후와 완화하고 보호하는 최선의 방법에 대해 알아 봅시다.
무고한 이름의 강력한 공격 방법 | 황금 티켓 공격 개요
골든 티켓’이라는 별명은 로알드 다르의 ‘찰리와 초콜릿 공장’에서 유래합니다. 이야기를 통해 소년이 모두가 원하는 황금 티켓을 얻는 방법을 찾아 엄격하게 경비 된 윌리 원카의 초콜릿 공장에 들어갈 수 있습니다.
무고한 이름의 기원에도 불구하고, 황금 티켓 공격은 성공하면 대상 기업에 치명적인 타격을 줄 수 있습니다. 황금 티켓 공격을 통해 공격자는 장치, 폴더, 파일 및 도메인 컨트롤러(DC)와 같은 대상 도메인의 거의 모든 것에 무제한 액세스할 수 있습니다. 이 공격은 글로벌 디지털 워크포스에서 일반적으로 사용되는 Kerberos 인증 프로토콜의 약점을 악용합니다.
MITRE ATT & CK 프레임 워크에 따르면 공격에는 황금 티켓 사용이 포함되어 있습니다. 이 경우 황금 티켓은 Active Directory에서 모든 계정의 티켓 보증 서비스(TGS) 티켓을 생성하여 위조된 Kerberos 티켓 보증 티켓(TGT)입니다.
Kerberos 통신 프로세스 | 공격 벡터 이해
공격자가 황금 티켓 공격을 수행하는 경우 먼저 도메인에 가입한 컴퓨터에 침해된 사용자 자격 증명을 사용하여 로그온하고 Kerberos 통신 프로세스를 대상으로 합니다. 공격 방법을 분석하기 전에 통신 프로세스를 이해하는 것이 중요합니다.
정상적인 상황에서는 Kerberos 인증 프로토콜을 통해 사용자는 Kerberos Key Distribution Center(KDC)라는 신뢰할 수 있는 타사 인증 서비스를 통해 자신을 인증할 수 있습니다. 이 서비스는 일반적으로 AD(Active Directory) 도메인의 각 도메인 컨트롤러에서 실행됩니다. Kerberos 통신 프로세스는 다음과 같습니다.
- 시스템은 사용자의 암호를 NTLM 해시로 변환하고 타임스탬프를 해시로 암호화한 다음 인증 티켓(TGT) 요청의 인증자로 키 분배 센터(KDC)로 보냅니다. 도메인 컨트롤러(KDC)는 로그인 제한 및 그룹 구성원 자격과 같은 사용자 정보를 확인하고 TGT를 만듭니다.
- 새로 생성된 TGT는 암호화되어 Kerberos 서비스(KRBTGT)라는 도메인 컨트롤러의 특수 계정으로 서명됩니다. 도메인의 KRBTGT 만 TGT 데이터를 열고 읽을 수 있습니다. 그런 다음 도메인 컨트롤러는 TGT를 허용하고 이를 사용자에게 배달합니다.
- 사용자는 TGT를 제시하고 Ticket Granting Service(TGS) 티켓을 요청합니다. 도메인 컨트롤러는 제시된 TGT를 확인하고 TGS 티켓을 만듭니다.
- 도메인 컨트롤러는 대상 서비스 계정의 NTLM 암호 해시를 사용하여 TGS를 암호화하고 이를 사용자에게 보냅니다.
- 사용자는 해당 포트에서 서비스를 호스팅하는 응용 프로그램 서버에 연결하여 TGS를 제공합니다. 서비스는 NTLM 암호 해시를 사용하여 TGS 티켓을 엽니다.
KRBTGT 계정 해시 | 실제 황금 티켓 공격 이해
유효한 KRBTGT 계정 해시를 가진 공격자는 Mimikatz와 같은 오픈 소스 도구를 사용하여 위조 황금 티켓을 만들 수 있습니다. 공격 액터는 Mimikatz의 기능인 DCSync를 사용하여 다음 명령을 사용하여 KRBTGT 계정의 보안 식별자(SID) 및 NTLM 해시를 검색할 수 있습니다.
lsadump::dcsync /user:<username>krbtgt
또는 공격자는 Mimikatz를 사용하여 로컬 보안 기관(LSA)에서 KRBTGT 계정의 해시를 가져옵니다. 이 경우 DC에서 Mimikatz 명령의 privilege::debug 및 lsadump::lsa /inject /name:krbtgt
를 실행합니다.
위의 자격 증명 섹션에는 SID 및 NTLM 해시와 같은 중요한 정보가 표시됩니다. 그런 다음 공격자는 이러한 해시를 사용하여 황금 티켓을 만들고 다음 코드에 따라 조직의 AD 환경을 가로로 이동하여 Pass the Ticket (PtT) 공격을 수행 할 수 있습니다. .
kerberos::golden /user:<username>/domain:<domain>/sid:S-1-5-21-2087032555-2209862856-1647013465 /krbtgt:38fb5559b8b79e3657cbf45f7165a0c5 /ptt
Mimikatz 모듈은 kerberos::list 및 kerberos::tgt 와 같은 일부 명령도 지원하므로 현재 사용자 세션에서 전송된 사용 가능한 모든 Kerberos 티켓을 얻을 수 있습니다.
공격자가 황금 티켓을 삽입하면 전체 도메인 컨트롤러에 대한 네트워크 액세스가 제한되지 않습니다. 다음 명령은 DC 관리 공유(C$) 목록을 확인할 수 있습니다.
엔터프라이즈 모범 사례 | Active Directory 공격 대상 공간을 줄이는 방법
지속적인 보안 평가의 일환으로 기업의 보안 전문가는 Active Directory의 철저한 평가를 수행하고 AD 공격에 대한 포괄적인 보고서에 투자해야 합니다. 취약한 KRBTGT 계정을 감지하고 잠재적인 pass-the-ticket 공격을 경고하려면 정기적인 평가가 중요합니다. 무단 쿼리를 탐지하고 중요한 AD 개체를 공격자로부터 숨길 수 있는 기업이라면 디지털 ID의 공격 측면을 크게 줄일 수 있습니다.
장기적인 완화 전략에 관해서는 다음과 같습니다.
- 일년에 두 번 KRBTGT 계정의 비밀번호를 재설정하면 전체 도메인이 손상될 가능성을 최소화할 수 있습니다.
- 보안 관리자는 도메인 관리자가 도메인 컨트롤러 이외의 컴퓨터에 로그온하는 것을 제한할 수도 있습니다.
- 조직은 공격자가 티켓을 위조하고 전체 도메인 지배를 받지 않도록 포괄적인 AD 보호 솔루션을 구현해야 합니다
결론
최근의 매우 빠른 작업 환경에서 사용자는 디지털 ID를 사용하여 빠르고 안전한 처리를 기대합니다. 끊임없는 기술 변화에 대응하려면 디지털 ID의 조경 및 보안 보호 방법에 적응할 수 있어야 합니다. 공격자는 황금 티켓 공격과 같은 공격 방법을 계속 악용하고 있기 때문에 ID 기반 보안은 기업의 사이버 보안 전략의 필수적인 부분으로 자리매김해야 합니다.
SentinelOne 솔루션을 활용하여 ID 기반 보안을 강화하는 기업은 AD의 공격 대상 영역을 줄이고 실시간 인프라 방어를 통해 자격 증명 악용으로부터 보호합니다.
- Singularity™ Ranger AD를 사용하면 Active Directory 환경의 취약점을 발견할 수 있습니다. 구성 변경에 대한 분석을 통해 ID 기반 공격의 일부가 되는 과도한 권한 설정을 제거할 수 있습니다.
- Singularity ™ Identity를 사용하면 권한이없는 권한을 얻으려는 공격자로부터 Active Directory, AD 도메인 제어 및 도메인에 참여하는 자산을 보호 할 수 있습니다. 악의적인 쿼리를 탐지하고, 중요한 AD 개체를 쿼리 결과에서 숨기고, 악의적인 데이터를 쿼리 대상 영역에 삽입하여 공격자를 중요한 자산으로부터 멀리 할 수 있습니다.
ID 기반 위협으로부터 기업을 보호하는 방법에 대한 자세한 내용은 여기에서 무료 Active Directory 평가에 가입할 수 있습니다.