골든 티켓 공격: 검출하는 방법

Windows

골든 티켓 공격: 탐지 방법. 골든 티켓 공격은 악의적인 사이버 보안 공격으로, 위협 행위자가 Microsoft 액티브 디렉터리(AD)에 저장된 사용자 데이터에 접근하여 조직의 도메인(파일, 장치, 도메인 컨트롤러 등)에 거의 제한 없는 접근을 얻으려고 합니다. 이 공격은 표준 인증을 우회하여 Kerberos 신원 인증 프로토콜의 결함을 이용하여 AD에 접근합니다.

조직이 강력한 보안 조치에 점점 더 의존함에 따라, 이러한 공격의 구조를 이해하는 것이 중요해집니다. 이 기사에서는 골든 티켓 공격의 메커니즘을 자세히 살펴보며, 공격자들이 사용하는 기술에 대해 밝히고, 이 복잡한 보안 침해에 대비하여 효과적인 탐지 방법에 대한 실질적인 통찰력을 제공합니다.

또한 읽어보세요 액티브 디렉터리 백업 전략 및 도구(모범 사례)

골든 티켓 공격: 공격자가 티켓을 위조하는 방법 & 탐지 방법

기업 시스템에 로그인을 위해 직원들이 자신의 장치와 네트워크를 사용하고 있으므로, 클라우드로 진행되는 비즈니스와 리모트 first 접근 방식에 따른 변화로 인해 전통적인 경계를 넘어서는 공격 표면이 확장되었습니다. 이로 인해 네트워크를 침입하고 골든 티켓 공격을 사용하여 액세스를 획득하는 위험이 증가했습니다.

또한 읽기InfraSOS에서 만든 Active Directory 보고 도구를 시도하십시오.

골든 티켓 공격의 역사

사이버 보안에서 “Golden Ticket”이라는 용어는 Roald Dahl의 “윌리 Wonka의 핫펫 팩토리”에서 영감을 받아 소망하는 통행증을 상징합니다. 책에서 금광 티켓은 윌리 워커의 독점적인 세계에 대한 액세스를 허용하는 반면, 사이버 보안의 “Golden Ticket”은 무단 액세스를 허용하는 위조된 Kerberos 티켓을 나타냅니다.

간략한 역사는 다음과 같습니다.

Mimikatz의 개발:

- 벤자민 델피는 윈도우 인증 프로토콜의 보안 취약점을 시연하고 해결하기 위해 미미카츠를 만들었습니다.
- 이 도구는 메모리에서 평문 암호, 케르베로스 티켓 및 기타 민감한 정보를 추출할 수 있는 능력으로 주목받았습니다.

2. 골든 티켓 개념:

- “Golden Ticket”은 무단으로 지속적인 네트워크 접근을 허용하는 위조된 케르버스 티켓을 지칭합니다.
- 공격자는 Mimikatz나 유사한 도구로 제작된 Golden Ticket을 사용하여 모든 사용자를 가장할 수 있고 사용자 자격 증명을 요구하지 않고 네트워크 자원에 액세스할 수 있습니다.

3. 고급 지속 위협 (APTs):

- 고급 지속 위협 그룹들은 고도화되고 지속적인 특성으로 알려져 있으며, Golden Ticket 기술을 공격 전략에 통합하기 시작했습니다.
- 이 기술은 공격자가 침해된 네트워크에 장기간 접근할 수 있게 하며, 방어자가 위협을 감지하고 완화하는 데 어려움을 겪게 합니다.

4. 완화 및 방어:

- 골든 티켓 공격에 대한 인식이 높아짐에 따라, 조직 및 사이버 보안 전문가들은 완화 방안을 시행하는 데 집중했습니다.
- 최상의 실천 방법은 비정상적인 활동을 위해 Active Directory를 정기적으로 모니터링하고, 최소 권한 원칙을 강제로 시행하며, 시스템 및 소프트웨어를 최신 상태로 유지하는 것입니다.

완화 방안은 인식을 높이고 보안 조치를 포함합니다. 조직은 골든 티켓 공격을 대비하기 위해 Active Directory 모니터링, 최소 권한 원칙 강화, 최신 시스템 유지를 강조합니다. 이 기술은 사이버 보안에서 계속되는 고양이와 쥐 게임을 보여주며, 진화하는 위협을 앞서기 위한 혁신적인 보안 조치의 필요성을 강조합니다.더 읽기 Windows Server 보호 방법: 악성 소프트웨어, 랜섬웨어, DDoS 공격 및 기타 위협

또한 읽기 Windows Server 보호 방법: 악성 소프트웨어, 랜섬웨어, DDoS 공격 및 기타 위협

골든 티켓 공격 프로세스

A key distribution center is typically used in Kerberos authentication to safeguard and confirm user identification. Using Kerberos authentication, it is unnecessary to ask the user for credentials repeatedly. Instead, we confirm the user’s identity and issue a ticket to them for access. The Distribution center has a ticket-granting server (TGS) to connect the user to the service server.

케르버스 데이터베이스에는 모든 확인된 사용자의 암호가 포함되어 있습니다. 인증 서버 (AS)는 사용자의 초기 인증을 수행합니다. AS가 확인되면 사용자는 케르버스 티켓 그랜트 티켓 (TGT)을 받아 인증을 증명합니다.

또한 읽기 기업의 사이버 공격을 방지하는 10가지 최상의 방법

공격자가 골든 티켓 공격을 수행하는 방법

공격자는 완전한 도메인 이름, 도메인 보안 식별자, KRBTGT 암호의 해시 및 계정의 사용자 이름이 필요하며 골든 티켓 공격을 실행하고 접근하기 위해 이러한 데이터를 획들하는 방법을 설명하는 절차입니다.

단계 1: 조사 – 초기 단계로, 공격자는 기존 시스템 액세스가 필요하며, 이는 종종 피싱 이메일을 통해 이루어집니다. 이러한 속임수 있는 이메일은 진입점으로 사용되어 공격자가 도메인 이름과 같은 필수 정보를 조사하고 수집하는 것을 허용합니다.

단계 2: 액세스 획득 – 도메인 컨트롤러에 성공적으로 진입한 후, 공격자는 AD 키 분배 서비스 계정(KRBTGT)의 NTLM 해시를 획득합니다. Pass-the-Hash (PtH)와 같은 기술을 사용하여 다른 자격 증명 도난 방법과는 달리 암호 해독이 필요하지 않아 이점을 제공합니다.

단계 3: 공격 시작 – KRBTGT 암호를 소지한 공격자는 티켓 부여 티켓(TGT)을 획득하여 도메인 컨트롤러에 액세스하고 서버의 신원을 확인합니다. TGT는 공격자에게 자원에 무제한 액세스 권한을 부여하여 도메인과 관련된 작업을 위임하고 티켓을 생성할 수 있게 합니다.

단계 4. 액세스 유지 – 티켓은 최대 10년 동안 유효하며, 이러한 공격은 종종 감지되지 않습니다. 일반적으로 공격자들은 감지를 피하기 위해 키를 더 짧은 기간 동안 유효하도록 설정합니다.

또한 읽기액티브 디렉토리 보안에서 위협 인텔리전스의 역할

골든 티켓 공격 탐지

조직은 잠재적인 골든 티켓 공격을 식별하는 데 도움이 되는 여러 절차를 구현해야 합니다. 공격자가 2단계를 완료하고 접근 권한을 획득하면, 이후 공격을 위한 로그인 자격 증명을 얻습니다. 공격자는 이전에 발견되지 않은 직원 및 고객 데이터를 사용하여 활성 계정을 찾기 위해 자동화된 기술을 사용했습니다.

로그인 자격이 유효한지 여부에 따라, 케르베로스는 인증 없이 TGT 요청을 받았을 때 다른 응답을 보냅니다. 공격자는 이를 이용하고 잠재적 공격에서 합법적인 자격 증명을 사용합니다. 보안 팀은 사전 인증 없이 단일 출처에서 여러 티켓을 찾을 수 있습니다.

확장된 탐지 및 대응(XDR) 사용

확장된 탐지 및 대응(XDR)은 보안 운영에 대한 전체적인 관점을 채택합니다. 그것은 조직의 IT 인프라 내의 다양한 출처에서 데이터를 통합하고 분석합니다, 엔드포인트, 네트워크, 그리고 클라우드 플랫폼을 포함하여.

위협 데이터는 조직의 기술 스택 내부의 다양한 도구에서 XDR 시스템에 의해 수집되며, 보다 빠른 위협 사냥 및 대응 절차를 용이하게 합니다. 기술 스택 전반에 걸쳐 통합된 위협 데이터로, XDR 솔루션은 모든 탐지 및 대응을 단일 명령 콘솔로 결합하여 조직이 Golden Ticket 공격을 더 빨리 식별할 수 있도록 합니다.

또한 읽기 내부자 위협에 대한 Active Directory의 보안 방법

Golden Ticket 공격 방지 팁

Golden Ticket 공격은 환경이 손상된 경우에만 발생하므로 사후 침투 공격입니다. 다음 가이드라인은 침입자의 액세스를 방지하는 데 도움이 됩니다.

팁 1: Active Directory 보안

Active Directory(AD) 보호는 중요합니다. 왜냐하면 손상된 엔드포인트나 워크로드는 전체 기업에 심각한 위협을 가합니다. 제로 트러스트 원칙을 적용하고 지속적인 확인 및 인가를 강조하여 AD 및 사용자 ID를 보호합니다. 최소 권한 원칙을 적용하여 업무 활동을 기반으로 액세스 권한을 할당하여 AD 보안을 강화합니다. 사용자 액세스에 대한 가시성을 유지하는 것이 중요합니다.

팁 2: 자격 증명 도용 방지 우선순위 지정

공격 프로세스의 1단계에서 설명된 것처럼 자격 증명 도용은 일반적인 전조 현상입니다. 직원들이 피싱 시도를 식별하고 차단하는 방법을 훈련시키는 것이 공격자의 초기 접근을 차단하는 데 필수적입니다. IT 위생 도구를 사용하면 자격 증명의 보안이 유지되고 안전이 보장되며 암호 변경이 적용되어 자격 증명 보안을 유지하는 데 도움이 됩니다. 이 예방적인 접근 방식은 손상된 시스템에서 골든 티켓 공격을 감지하고 차단할 가능성을 높입니다.

팁 3: 위협 헌팅 도입

인간이 주도하는 위협 헌팅은 특히 자동화된 보안 도구를 피할 수 있는 골든 티켓 공격과 같이 도용된 자격 증명을 사용하는 은밀한 공격을 식별하고 대응하는 데 중요한 역할을 합니다. 위협 헌팅은 숙련된 전문가가 합법적인 사용자인 것처럼 위장하여 미묘한 위협을 밝혀내는 것을涉及합니다. 매일 APT(지속적인 고급 위협) 행위자와 교류하며 얻은 전문 지식을 활용하여 위협 헌팅 팀은 매일 수백만 개의 잠재적 위협을 분석하고 합법적인 것과 악의적인 것을 구별하며 필요한 경우 경보를 발령합니다.

또한 읽기 Active Directory Security Best Practices: Protect Your Environment

골든 티켓 공격: 검출 방법 결론

디지털 영역이 계속해서 사이버 위협의 폭풍에 직면하면서, 골든 티켓 공격의 위협은 적극적인 방어 전략의 중요성을 강조한다. 인증 취약점의 교묘한 악용에 대한 경계는 선택이 아니라 민감한 네트워크를 보호하기 위한 필수적인 요구사항이다. 강력한 탐지 메커니즘을 통해 최신 동향을 선도하는 것으로 조직은 사이버 방어를 강화하고 이러한 은밀한 침투로 인한 위험을 완화하여 탄탄하고 안전한 디지털 미래를 보장한다.

Source:
https://infrasos.com/golden-ticket-attacks-how-to-detect/