도메인 컨트롤러란?

도메인 컨트롤러는 보안 인증 요청에 응답하고 컴퓨터 네트워크 도메인의 사용자를 확인하는 컴퓨터 서버의 일종입니다.컨트롤러는 도메인 리소스에 대한 호스트 액세스를 허용하는 게이트키퍼 역할을 합니다.또한 보안 정책을 적용하고, 사용자 계정 정보를 저장하고, 도메인의 사용자를 인증합니다.

이 블로그에서는 공격자가 도메인 컨트롤러에서 초기 기반을 확보한 후 외부로 이동하기 전에 환경을 발견하고 이해하는 데 사용하는 접근 방식을 살펴봅니다.이러한 기법 중 상당수는 엔드포인트 또는 서버의 “육상”을 거의 사용하지 않고 결국 도메인 컨트롤러에 접근하여 공격을 시작합니다.다음 게시물에서는 공격자가 측면으로 이동하는 몇 가지 방법을 살펴보고, 마지막으로 예방을 위한 완화 방법을 살펴보겠습니다. 측면 이동.

공격자는 침입할 방법을 찾습니다.

일단 침입한 후에는 공격을 조율하기 위해 측면 방향으로 이동해야 하며, 종종 도메인 컨트롤러에 도달해야 합니다.공격자가 액세스 권한을 얻으면 사실상 IT 관리자가 되므로 “외부 생활”이 이보다 더 쉬울 수는 없습니다.보안 침해를 가정하고 공격자가 결국 침입할 방법을 찾아낼 수 있는 공격을 살펴보겠습니다.

하지만 먼저 도메인 컨트롤러에 대해 살펴보겠습니다.이미 알고 계실 수도 있지만 Microsoft 도메인 컨트롤러 서버인 Active Directory는 Windows 도메인 및 관련 네트워크 리소스에 대한 액세스를 인증 (사용자 로그온 확인) 하는 역할을 합니다.사용자, 그룹 및 컴퓨터의 디렉터리를 포함하며 파일 공유, 네트워크 공유 및 프린터와 같은 네트워크 서비스의 저장소입니다.Active Directory 도메인 서비스 역할로 프로비전된 서버는 도메인 컨트롤러가 됩니다.또한 이름 확인 및 기타 내부 네트워크 서비스를 관리하기 위해 DNS 서버와 함께 설치됩니다.도메인 컨트롤러와 Active Directory 서버는 GUI로 구동되는 경우가 많지만 매우 복잡합니다. 특히 복제와 내결함성을 위해 여러 개가 있을 가능성이 높은 일반적인 기업 네트워크에서는 더욱 그렇습니다.

Windows 도메인에는 역할이 많이 얽혀 있기 때문에 도메인 컨트롤러는 수행하도록 프로비전된 역할 수에 따라 다양한 서비스를 호스팅합니다.이름 내부 확인을 위한 DNS, 인증을 위한 Kerberos 티켓팅, 서버 메시지 블록, 인증서 서비스 등과 같은 역할.이를 통해 범위가 넓어집니다. 공격 표면 실제로 다음과 같은 구성 요소에 대한 많은 공격이 있습니다.

• 싱글 사인온 자격 증명 사용
• 케르베로스 티켓팅,
• SPN (서비스 사용자 이름),
• 그룹 정책 개체 (GPO),
• 액티브 디렉토리 트러스트 및 위임
• RPC 및 SMB.

이러한 공격의 대부분은 네트워크 트래버싱을 통해 크게 촉진됩니다.이러한 모든 서비스는 관련 포트 및 프로토콜과 함께 제공됩니다.

아래 표에는 열려 있어야 하는 일반적인 도메인 컨트롤러에서 사용할 가능성이 높은 포트와 프로토콜이 나와 있습니다.이는 악의적인 공격자가 이용할 수 있는 광범위한 공격 영역에 해당합니다.문제는 공격 대상 영역을 줄이기 위해 포트를 폐쇄하기로 결정하면 Active Directory가 제대로 작동하지 않는다는 것입니다.

도메인 컨트롤러 경로

여기서의 전제는 위협 행위자가 낮은 수준의 권한을 가지고 있더라도 이미 사용자의 시스템이나 네트워크에 무단으로 액세스했을 수 있다는 '침해 가정' 철학과 일치합니다.예를 들어, 이를 통해 사용자 계정이 침해될 수 있습니다. 피싱 이로 인해 비즈니스 이메일 보안 침해 (BEC) 가 발생할 수 있습니다.이는 위협 행위자가 권한이 더 높은 계정을 노리고 도메인 컨트롤러와 같은 주요 시스템을 노릴 가능성이 높다는 의미이기도 합니다.

이 패턴을 따르는 가상의 공격 흐름을 살펴보겠습니다.

초기 공격에는 직원에게 보내는 피싱 이메일이 포함됩니다.이 피싱 공격에는 직원이 속이는 가짜 Office 365 OneDrive 로그인 링크가 포함되어 있습니다.이러한 링크는 자바스크립트 실행 및 일부 취약성과 함께 Windows Powershell을 활용하는 메모리 전용 맬웨어를 자동으로 실행합니다.그러면 손상된 사용자의 Windows 랩톱에서 공격자에게 역방향 셸 명령 및 제어 (C&C) 백도어가 전달됩니다.이 글의 출발점은 여기까지입니다. '위반을 가정하다'전제.

이 단계까지의 공격은 대부분 자동화되므로 공격자는 새 셸, 즉 새로 손상된 시스템에 대한 C&C 알림을 받게 될 것입니다.또한 공격자는 사용자 계정, 권한, 네트워크 리소스 액세스와 같은 손상된 시스템의 전체 세부 정보를 거의 모르고 있을 것입니다.ATT&CK는 바로 이 곳입니다. 디스커버리 단계 공격자에게 중요합니다.

ATT&CK: 디스커버리

직원 엔드포인트든 워크로드든 단일 시스템에서 도메인 컨트롤러로 전환하기 위해 가장 먼저 해야 할 일은 무엇입니까?

ATT&CK가 디스커버리 단계에서 말했듯이 “환경을 파악해 보세요.”

공격자는 먼저 시스템 사용자가 누구인지, 실행 중인 프로세스, 파일/디렉터리/그룹 구성원 및 세션 정보를 이해합니다.

포트 스캐닝을 위한 NMAP과 같은 도구를 사용하면 원격 시스템에서 수신 대기 중인 서비스가 어떤 서비스를 악용할 수 있는지 확인할 수 있습니다.또한 블러드하운드를 사용하여 Active Directory 환경을 매핑하여 도메인 컨트롤러로 가는 가장 빠른 방법을 파악할 수 있습니다.

이러한 도구는 공격에 사용되기도 했지만, 내재된 문제가 있습니다.트래픽을 발생시키는 서드파티 도구라는 인식이 너무 심합니다.이들은 수다스럽고 다소 노골적이어서 보안 시스템에 탐지될 수 있습니다.

공격자는 도메인에 가입된 엔드포인트 또는 워크로드에 액세스할 수 있을 때 간단히 “해외 거주”를 하는 것이 가장 좋습니다.이렇게 하면 네트워크에서 잡음을 발생시키지 않는 엔드포인트 고유의 도구를 사용할 수 있습니다.

공격자는 대부분의 사용자에게 익숙한 기본 CLI 명령으로 시작하여 자신의 현재 위치와 다음에 수행할 수 있는 작업을 쉽고 눈에 잘 띄지 않게 파악할 수 있습니다.

도메인에 가입된 클라이언트 시스템에서 다음과 같은 명령 우와미 허용할 것입니다 시스템 소유자 또는 사용자 검색를 눌러 아래와 비슷한 결과를 출력합니다.

이를 통해 공격자는 손상된 시스템의 계정 프로필을 작성하여 해당 계정이 무엇에 액세스할 수 있는지 확인할 수 있습니다.공격자는 컴퓨터가 속해 있는 Active Directory 그룹을 간단히 살펴봄으로써 해당 사용자가 예를 들어 재무 팀에 속해 있다는 것을 알 수 있습니다.그들은 금융 파일 공유에 액세스하여 악용할 가능성이 높다는 것을 알고 있거나, 재무 데이터를 노리는 경우 시스템에 있는 파일을 즉시 검사하도록 선택할 수도 있습니다.

또한 위협 행위자는 네트워크 사용자 및 관련 스위치와 같은 간단하면서도 효과적인 명령을 사용하여 손상된 시스템이 연결된 도메인 컨트롤러의 이름과 도메인 컨트롤러에 있는 사용자 계정 목록을 검색할 수 있습니다.

여기서부터는 도메인 컨트롤러로의 경로를 안내하는 데 도움이 될 수 있는 중요한 세부 정보가 명확하게 정리되어 있습니다.

많은 사람들에게 친숙한 다른 간단한 명령은 다음과 같습니다. ipconfig /all 과 넷스타트 -rn 공격자를 기본 게이트웨이 및 네트워크, 서브넷, DNS 및 DHCP 정보로 안내합니다.또한 라우팅 테이블을 통해 도달 가능한 대상을 확인할 수 있습니다.이를 통해 공격자는 네트워크 수준 연결의 기본 맵을 구축할 수 있는 충분한 정보를 얻을 수 있습니다.공격자는 손상된 시스템이 도메인 컨트롤러 또는 DNS 서버와 동일한 서브넷에 있는지 여부를 해독할 수 있습니다.이러한 이유로 반드시 다음을 갖추어야 합니다. 마이크로 세분화 접근법 보안이 필요한 경우 워크로드에 따라 다름 플랫 네트워크 아키텍처에서도 네트워크에 종속되지 않습니다.서브넷이나 위치에 관계없이 도메인 컨트롤러처럼 워크로드를 따르는 보안.

또한 추가 서브넷, 경로 및 해당 게이트웨이를 해독하고 네트워크 공유 서버 이름 등의 역방향 DNS 세부 정보를 사용하여 해당 라우팅 정보를 확인할 수 있습니다.

대부분의 조직에서는 같은 팀 내 직원의 네트워크 공유를 사용하여 정보를 공유하고 경우에 따라 보관합니다.위협 행위자는 다음과 같은 내장 유틸리티의 Windows 네트워크 공유 세부 정보를 활용할 수 있습니다. 순 사용 파일 서버 또는 도메인 컨트롤러를 찾을 수 있습니다.또한 이 정보를 손상되거나 에스컬레이션된 계정과 함께 사용하여 다음과 같은 숨겨진 Windows 네트워크 공유에 액세스할 수 있습니다. 관리자 $ 또는 C$. 이를 사용하여 로컬 SMB 네트워크 또는 SMB 네트워크에 연결된 유효한 원격 액세스 VPN 연결을 통해 다른 시스템에 맬웨어가 확산되는 것을 용이하게 할 수 있습니다.

이제 이 정보를 통해 Windows에서 액세스할 수 있는 공유 및 서버를 아래에서 확인할 수 있습니다.공격자가 자신이 통제하고 있는 손상된 시스템에 대해 좀 더 자세히 알게 되면 다음 조치 계획을 수립할 수 있습니다.

이 예에서 사용자는 랩톱의 로컬 관리자이고 NIC 목록에 VPN 어댑터와 해당 VPN 애플리케이션이 있지만 도메인 관리자 액세스 권한은 없습니다.핵심 목표는 도메인 컨트롤러에 액세스하는 것이므로 공격자는 측면 이동에 사용할 수 있는 권한 에스컬레이션을 시도하는 등 몇 가지 방법을 사용할 수 있습니다.시스템에 권한을 에스컬레이션할 수 있는 다른 계정이 없다면 해당 계정을 얻으려고 시도할 가능성이 큽니다.손상된 계정과 시스템의 신뢰성을 활용하여 조직의 이메일 도메인 내에서 훨씬 더 표적화된 피싱 공격을 보낼 수 있습니다.또한 대상 시스템에 인위적인 결함이 발생하여 IT 지원 케이스를 강요할 수도 있습니다. 이 경우 감염된 시스템에서 “관리자 권한으로 실행”할 가능성이 높은 IT 관리자와의 원격 지원 세션을 의미할 가능성이 큽니다.위협 행위자는 단호한 태도를 보이는 경향이 있으며 인내심이 강하며 일반적으로 자신이 원하는 것을 얻기 위해 필요한 모든 조치를 취합니다.

지금까지 PowerShell이나 WMI와 같은 더 강력한 기본 기능을 사용하지 않았다는 점에 유의하는 것이 중요합니다.이는 최신 운영 체제와 마찬가지로 레거시 운영 체제에서도 여전히 얻을 수 있는 정보의 양을 의도적으로 지적하기 위한 것입니다.예를 들어 공격자는 PowerShell과 같은 시스템 도구를 사용하여 기본 원격 액세스의 가능성을 아직 테스트하여 측면 이동 및 피벗을 지원하기 위해 원격으로 액세스하는 시스템을 확인할 수 있습니다.

Powershell 원격 기능은 다음과 같은 명령을 통해 검색 및 측면 이동 기능을 위한 또 다른 방법을 제공합니다. -PS 세션 입력 및 다음을 실행할 수 있는 다양한 기타 cmdlet 컴퓨터 이름 매개변수.전자는 WinRM (HTTP 5985 및 HTTPS 5986) 을 활용하고 후자는 보다 유비쿼터스 RPC를 사용합니다.

도메인 컨트롤러의 중요성을 이해하고 침입이 발생했다는 것을 알고 있습니다. 이제 공격자가 간단한 CLI 명령을 사용하는 방법과 가장 중요한 라이프 오프 더 랜드 (Living Off of Land) 기술 (엔드포인트에 노이즈를 발생시키지 않음) 에 대해 더 잘 이해할 수 있게 되었습니다. 네트워크 보안 도구 (를) 보고 토지의 위치를 파악하고 환경 내 어디에 있는지 알아낼 것입니다.

다음 글에서는 다음을 살펴보겠습니다. 측면 이동 공격자가 발견 후 도메인 컨트롤러에 접근하기 위해 드러내는 것이죠.