자격 증명 도난에 취약한 계정

  • 아티클

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

자격 증명 탈취 공격은 공격자가 처음에 네트워크의 컴퓨터에 대한 가장 높은 권한(사용 중인 운영 체제에 따라 루트, 관리자 또는 시스템)의 액세스를 얻은 다음, 무료로 사용 가능한 도구를 사용하여 다른 로그온된 계정의 세션에서 자격 증명을 추출하는 공격입니다. 시스템 구성에 따라 이러한 자격 증명은 해시, 티켓으로 추출하거나 심지어 일반 텍스트 비밀번호의 형태로도 추출할 수 있습니다. 수집된 자격 증명이 네트워크의 다른 컴퓨터에 존재할 가능성이 있는 로컬 계정(예: windows의 관리주체 계정 또는 OSX, UNIX 또는 Linux의 루트 계정)에 대해 수집된 자격 증명이 있는 경우 공격자는 네트워크의 다른 컴퓨터에 자격 증명을 표시하여 추가 컴퓨터에 손상이 전파되고 두 가지 특정 유형의 계정 자격 증명을 가져오려고 시도합니다.

  1. Privileged do기본 광범위하고 깊은 권한(즉, 많은 컴퓨터 및 Active Directory에서 관리자 수준 권한이 있는 계정)을 모두 사용하는 계정입니다. 이러한 계정은 Active Directory에서 가장 높은 권한 그룹의 구성원이 아닐 수 있지만, 관리할 일기본 또는 포리스트의 여러 서버 및 워크스테이션에서 해당 계정이 부여되어 Active Directory에서 권한 있는 그룹의 멤버만큼 효과적으로 강력해질 수 있습니다. 대부분의 경우 광범위한 Windows 인프라에서 높은 수준의 권한을 부여받은 계정은 서비스 계정이므로 서비스 계정은 항상 광범위한 권한과 깊이를 평가해야 합니다.

  2. VIP("매우 중요한 사람")는 계정을 기본. 이 문서의 컨텍스트에서 VIP 계정은 공격자가 원하는 정보(지적 재산권 및 기타 중요한 정보)에 액세스할 수 있는 계정 또는 공격자에게 해당 정보에 대한 액세스 권한을 부여하는 데 사용할 수 있는 계정입니다. 이러한 사용자 계정의 예는 다음과 같습니다.

    1. 계정이 중요한 회사 정보에 액세스할 수 있는 임원

    2. 임원이 사용하는 컴퓨터 및 응용 프로그램 기본 관련 책임이 있는 지원 센터 직원의 계정

    3. 문서가 자체 조직 또는 클라이언트 조직을 위한 문서인지 여부에 관계없이 조직의 입찰 및 계약 문서에 액세스할 수 있는 법률 직원을 위한 계정

    4. 회사에서 만드는 제품의 유형에 관계없이 회사의 개발 파이프라인에서 제품의 계획 및 사양에 액세스할 수 있는 제품 플래너

    5. 연구 데이터, 제품 공식 또는 공격자에게 관심 있는 기타 연구에 액세스하는 데 계정이 사용되는 연구원

Active Directory의 높은 권한 있는 계정을 사용하여 손상이 전파되고 VIP 계정 또는 액세스할 수 있는 데이터를 조작할 수 있으므로 자격 증명 도난 공격에 가장 유용한 계정은 Active Directory의 Enterprise 관리, Do기본 관리 및 관리istrators 그룹의 구성원인 계정입니다.

기본 컨트롤러는 AD DS 데이터베이스에 대한 리포지토리이며기본 컨트롤러는 Active Directory의 모든 데이터에 대한 모든 액세스 권한을 가지므로기본 컨트롤러는 자격 증명 도난 공격과 병렬로 또는 하나 이상의 높은 권한이 있는 Active Directory 계정이 손상된 후 손상의 대상이 됩니다. 수많은 게시(및 많은 공격자)가 Do기본 관리s 그룹 멤버 자격에 초점을 맞추고 있지만 통과 해시 및 기타 자격 증명 도난 공격(Active Directory 공격 표면 감소에 설명된 대로)을 설명할 때 여기에 나열된 그룹의 구성원인 계정을 사용하여 전체 AD DS 설치를 손상시킬 수 있습니다.

참고 항목

통과 해시 및 기타 자격 증명 도난 공격에 대한 포괄적인 정보는 부록 M: 문서 링크 및 권장 읽기에 나열된 PTH(Pass-the-Hash) 공격 및 기타 자격 증명 도난 기술 백서를 참조하세요. APT(고급 영구 위협)라고도 하는 결정된 악의적 사용자의 공격에 대한 자세한 내용은 결정된 악의적 사용자 및 대상 공격을 참조하세요.

손상 가능성을 높이는 활동

자격 증명 도난의 대상은 일반적으로 높은 권한의 do기본 계정 및 VIP 계정이므로 관리자는 자격 증명 도난 공격의 성공 가능성을 높이는 활동을 의식하는 것이 중요합니다. 공격자는 VIP 계정을 대상으로 하지만 VIP가 시스템 또는 도메인에서 높은 수준의 권한을 부여받지 못하면 해당 자격 증명을 탈취하기 위해서는 VIP를 사회 공학적으로 공격하여 비밀 정보를 제공하는 등 다른 유형의 공격이 필요합니다. 또는 공격자는 먼저 VIP 자격 증명이 캐시되는 시스템에 대한 권한 있는 액세스 권한을 얻어야 합니다. 이 때문에 여기에 설명된 자격 증명 도난의 가능성을 높이는 활동은 주로 높은 권한의 관리 자격 증명 획득을 방지하는 데 중점을 줍니다. 이러한 활동은 공격자가 시스템을 손상시켜 권한 있는 자격 증명을 얻을 수 있는 일반적인 메커니즘입니다.

권한 있는 계정으로 보안되지 않은 컴퓨터에 로그온

자격 증명 탈취 공격이 성공할 수 있는 핵심 취약성은 환경 전반에서 광범위하고 깊이 있는 권한의 계정으로 안전하지 않은 컴퓨터에 로그온하는 행위입니다. 이러한 로그온은 여기에 설명된 다양한 잘못된 구성의 결과일 수 있습니다.

별도의 관리 기존 자격 증명 유지 관리 안 함

이는 비교적 드문 일이지만 다양한 AD DS 설치를 평가할 때 IT 직원이 모든 작업에 단일 계정을 사용하는 것을 발견했습니다. 이 계정은 Active Directory에서 가장 높은 권한을 가진 그룹 중 하나 이상의 구성원이며, 직원이 아침에 워크스테이션에 로그온하고, 전자 메일을 검사, 인터넷 사이트를 찾아보고, 콘텐츠를 컴퓨터에 다운로드하는 데 사용하는 것과 동일한 계정입니다. 사용자가 로컬 관리주체 권한 및 사용 권한이 부여된 계정으로 실행하면 로컬 컴퓨터가 노출되어 손상이 완료됩니다. 이러한 계정이 Active Directory에서 가장 권한 있는 그룹의 구성원이기도 한 경우 전체 포리스트가 손상되도록 노출되므로 공격자가 Active Directory 및 Windows 환경을 완전히 쉽게 제어할 수 있습니다.

마찬가지로 일부 환경에서는 Windows 환경에서 사용되는 것과 동일한 사용자 이름 및 암호가 Windows 이외의 컴퓨터의 루트 계정에 사용되므로 공격자가 UNIX 또는 Linux 시스템에서 Windows 시스템으로 타협을 확장할 수 있으며 그 반대의 경우도 마찬가지입니다.

권한 있는 계정이 있는 손상된 워크스테이션 또는 멤버 서버에 로그온

권한이 높은 do기본 계정이 손상된 워크스테이션 또는 구성원 서버에 대화형으로 로그온하는 데 사용되는 경우 손상된 컴퓨터는 시스템에 로그온하는 모든 계정에서 자격 증명을 수집할 수 있습니다.

보안되지 않은 관리이상 워크스테이션

많은 조직에서 IT 직원은 여러 계정을 사용합니다. 한 계정은 직원의 워크스테이션에 로그온하는 데 사용되며, IT 직원이기 때문에 워크스테이션에 대한 로컬 관리주권이 있는 경우가 많습니다. 경우에 따라 사용자가 로그온 시 분할 액세스 토큰을 수신하고 권한이 필요할 때 상승해야 하므로 UAC를 사용하도록 설정된 상태로 유지됩니다. 이러한 사용자가 기본 테넌트 활동을 수행하는 경우 일반적으로 로컬에 설치된 관리 도구를 사용하고 권한 있는 계정으로 실행기본 선택하거나 메시지가 표시되면 자격 증명을 제공하여 관리 권한 있는 계정에 대한 자격 증명을 제공합니다. 이 구성은 적절해 보일 수 있지만 다음과 같은 이유로 환경이 손상되도록 노출됩니다.

  • 직원이 워크스테이션에 로그온하는 데 사용하는 "일반" 사용자 계정에는 로컬 관리주권이 있으며, 컴퓨터는 사용자가 맬웨어를 설치하도록 확신하는 드라이브 바이 다운로드 공격에 취약합니다.
  • 맬웨어는 관리 계정의 컨텍스트에 설치되며, 이제 컴퓨터를 사용하여 키 입력, 클립보드 콘텐츠, 스크린샷 및 메모리 상주 자격 증명을 캡처할 수 있으며, 이 자격 증명을 사용하면 강력한 do기본 계정의 자격 증명이 노출될 수 있습니다.

이 시나리오의 문제는 두 가지입니다. 첫째, 별도의 계정이 로컬 및 do기본 관리에 사용되지만 컴퓨터는 보안되지 않으며 도난으로부터 계정을 보호하지 않습니다. 둘째, 일반 사용자 계정 및 관리 계정에 과도한 권한과 권한이 부여되었습니다.

높은 권한의 계정으로 인터넷 검색

컴퓨터에서 로컬 관리istrators 그룹의 구성원이거나 Active Directory의 권한 있는 그룹의 구성원인 계정으로 컴퓨터에 로그온한 다음 인터넷(또는 손상된 인트라넷)을 찾아서 로컬 컴퓨터와 디렉터리가 손상되도록 노출하는 사용자입니다.

관리자 권한으로 실행되는 브라우저를 사용하여 악의적으로 만들어진 웹 사이트에 액세스하면 공격자가 권한 있는 사용자의 컨텍스트에서 로컬 컴퓨터에 악성 코드를 입금할 수 있습니다. 사용자에게 컴퓨터에 대한 로컬 관리이용자 권한이 있는 경우 공격자는 악의적인 코드를 다운로드하거나 애플리케이션 취약성을 활용하는 전자 메일 첨부 파일을 열도록 사용자를 속이고 사용자의 권한을 활용하여 컴퓨터의 모든 활성 사용자에 대해 로컬로 캐시된 자격 증명을 추출할 수 있습니다. 사용자가 Active Directory의 Enterprise 관리, Do기본 관리 또는 관리istrators 그룹의 멤버 자격으로 디렉터리에서 관리 권한을 가진 경우 공격자는 do기본 자격 증명을 추출하여 포리스트의 다른 컴퓨터를 손상하지 않고도 전체 AD DS do기본 또는 포리스트를 손상하는 데 사용할 수 있습니다.

시스템 전체에서 동일한 자격 증명을 사용하여 로컬 권한 있는 계정 구성

여러 컴퓨터 또는 모든 컴퓨터에서 동일한 로컬 관리이스트레이터 계정 이름 및 암호를 구성하면 한 컴퓨터의 SAM 데이터베이스에서 도난당한 자격 증명을 사용하여 동일한 자격 증명을 사용하는 다른 모든 컴퓨터를 손상시킬 수 있습니다. 최소한 각 할 일기본 가입 시스템에서 로컬 관리이스트레이터 계정에 대해 서로 다른 암호를 사용해야 합니다. 로컬 관리이스트레이터 계정도 고유하게 이름을 지정할 수 있지만 각 시스템의 권한 있는 로컬 계정에 서로 다른 암호를 사용하면 다른 시스템에서 자격 증명을 사용할 수 없도록 할 수 있습니다.

Privileged Do기본 그룹의 과잉 사용 및 과다 사용

할 일에서 EA, DA 또는 BA 그룹의 멤버 자격을 부여하면기본 공격자의 대상이 만들어집니다. 이러한 그룹의 멤버 수가 많을수록 권한 있는 사용자가 실수로 자격 증명을 오용하고 자격 증명 도난 공격에 노출될 가능성이 커집니다. 권한 있는 기본 사용자가 로그온하는 모든 워크스테이션 또는 서버는 권한 있는 사용자의 자격 증명을 수집하여 AD DS가 수행하는기본 및 포리스트를 손상시키는 데 사용할 수 있는 가능한 메커니즘을 제공합니다.

잘못된 보안 Do기본 컨트롤러

do기본 컨트롤러에는 할 일기본 AD DS 데이터베이스의 복제본(replica) 보관합니다. 읽기 전용 do기본 컨트롤러의 경우 데이터베이스의 로컬 복제본(replica) 디렉터리에 있는 계정의 하위 집합에 대한 자격 증명만 포함하며, 기본적으로 권한 있는 계정은 없습니다기본. 읽기-쓰기 do기본 컨트롤러에서 각 컨트롤러는 do기본기본 관리와 같은 권한 있는 사용자뿐만 아니라 do기본 컨트롤러 계정 또는 할 일과 같은 권한 있는 계정에 대한 자격 증명을 포함하여 AD DS 데이터베이스의 전체 복제본(replica) 기본기본'의 Krbtgt 계정- 할 일의 KDC 서비스와 연결된 계정입니다기본 컨트롤러. do기본 컨트롤러 기능에 필요하지 않은 추가 애플리케이션이 do기본 컨트롤러에 설치되거나기본 컨트롤러가 엄격하게 패치되고 보호되지 않는 경우 공격자는 패치되지 않은 취약성을 통해 손상되거나 다른 공격 벡터를 활용하여 악성 소프트웨어를 직접 설치할 수 있습니다.

권한 상승 및 전파

사용되는 공격 방법에 관계없이 Active Directory는 Windows 환경이 공격될 때 항상 대상이 됩니다. 이는 궁극적으로 공격자가 원하는 것에 대한 액세스를 제어하기 때문입니다. 그렇다고 해서 전체 디렉터리가 대상으로 지정되는 것은 아닙니다. 특정 계정, 서버 및 인프라 구성 요소는 일반적으로 Active Directory에 대한 공격의 주요 대상입니다. 이러한 계정은 다음과 같이 설명됩니다.

영구 권한 있는 계정

Active Directory가 도입되었기 때문에 높은 권한의 계정을 사용하여 Active Directory 포리스트를 빌드한 다음 일상적인 관리를 수행하는 데 필요한 권한과 권한을 권한이 낮은 계정에 위임할 수 있었습니다. Active Directory의 엔터프라이즈 관리, Do기본 관리 또는 관리istrators 그룹의 멤버 자격은 일상적인 관리에 대한 최소 권한 접근 방식을 구현하는 환경에서만 일시적이고 드물게 필요합니다.

영구 권한 있는 계정은 권한 있는 그룹에 배치되고 매일 남아 있는 계정입니다. 조직에서 할 일을 위해 Do기본 관리s 그룹에 5개의 계정을 배치하는 경우기본 이러한 5개 계정은 하루 24시간, 주 7일을 대상으로 지정할 수 있습니다. 그러나 Do기본 관리s 권한으로 계정을 사용해야 하는 실제 요구 사항은 일반적으로 특정 do기본 전체 구성 및 짧은 기간 동안만 수행됩니다.

VIP 계정

Active Directory 위반에서 종종 간과되는 대상은 조직에서 "매우 중요한 사람"(또는 VIP)의 계정입니다. 권한 있는 계정은 이 섹션의 앞부분에서 설명한 대로 공격자에게 액세스 권한을 부여할 수 있으므로 대상이 지정됩니다.

"권한 연결" Active Directory 계정

"권한 연결" Active Directory 계정은 Active Directory에서 가장 높은 수준의 권한을 가지지만 대신 환경의 많은 서버 및 워크스테이션에서 높은 수준의 권한을 부여받은 그룹의 구성원이 되지 않은 기본 계정입니다. 이러한 계정은 일반적으로 인프라의 큰 섹션에서 실행되는 애플리케이션에 대해 기본 가입된 시스템에서 서비스를 실행하도록 구성된 기본 기반 계정입니다. 이러한 계정은 Active Directory에 권한이 없지만 많은 수의 시스템에 대해 높은 권한이 부여된 경우 인프라의 큰 세그먼트를 손상하거나 파괴하는 데 사용할 수 있으며 권한 있는 Active Directory 계정의 손상과 동일한 효과를 달성할 수 있습니다.