도메인 컨트롤러란 무엇인가요?

도메인 컨트롤러는 컴퓨터 네트워크의 도메인에서 보안 인증 요청에 응답하고 사용자를 확인하는 컴퓨터 서버의 한 유형입니다. 컨트롤러는 호스트가 도메인 리소스에 액세스할 수 있도록 허용하는 게이트키퍼입니다. 또한 보안 정책을 적용하고, 사용자의 계정 정보를 저장하고, 도메인에 대한 사용자를 인증합니다.

이 블로그에서는 공격자가 도메인 컨트롤러에 초기 거점을 확보한 후 측면으로 이동하기 전에 환경을 탐색하고 이해하기 위해 사용하는 접근 방식을 살펴봅니다. 많은 기법들이 엔드포인트나 서버에서 효과적으로 '살아서' 도메인 컨트롤러에 접근하여 공격을 개시합니다. 다음 글에서는 공격자가 측면으로 이동하는 몇 가지 방법을 살펴보고, 마지막으로 측면 이동을 방지하기 위한 완화 방법을 살펴보겠습니다.

공격자는 침투할 방법을 찾습니다.

일단 침투한 후에는 공격을 조율하기 위해 도메인 컨트롤러에 도달하기 위해 측면으로 이동하는 경우가 많습니다. 공격자가 이 정보에 액세스하면 사실상 IT 관리자가 되는 것이므로 '먹고 살기'가 이보다 더 쉬울 수 없습니다. 공격자가 결국 침입할 방법을 찾아낸다는 가정 하에 공격을 살펴봅시다.

하지만 먼저 도메인 컨트롤러를 살펴보겠습니다. 이미 알고 계실 수도 있지만, Microsoft 도메인 컨트롤러 서버인 Active Directory는 Windows 도메인 및 관련 네트워크 리소스에 대한 액세스 인증(로그온하는 사용자 확인)을 담당합니다. 사용자, 그룹 및 컴퓨터의 디렉터리를 보관하며 파일 공유, 네트워크 공유 및 프린터와 같은 네트워크 서비스의 저장소입니다. Active Directory 도메인 서비스 역할로 프로비저닝된 서버는 도메인 컨트롤러가 됩니다. 또한 이름 확인 및 기타 내부 네트워크 서비스를 관리하기 위해 DNS 서버가 설치되어 있습니다. 도메인 컨트롤러와 액티브 디렉토리 서버는 매우 복잡하며, 특히 복제 및 내결함성을 위해 여러 대가 있는 일반적인 기업 네트워크에서는 더욱 그렇습니다.

Windows 도메인의 역할이 복잡하게 얽혀 있기 때문에 도메인 컨트롤러는 수행하도록 프로비저닝된 역할의 수에 따라 다양한 서비스를 호스팅합니다. 이름 내부 확인을 위한 DNS, 인증을 위한 Kerberos 티켓팅, 서버 메시지 블록, 인증서 서비스 등의 역할이 있습니다. 이로 인해 공격 표면이 넓어지고 실제로 다음과 같은 구성 요소에 대한 공격이 많이 발생합니다:

• 싱글 사인온 자격 증명 사용
• Kerberos 티켓팅,
• 서비스 담당자 이름(SPN),
• 그룹 정책 개체(GPO),
• Active Directory 트러스트 & 위임
• RPC 및 SMB.

이러한 공격의 대부분은 네트워크 통과를 통해 크게 촉진됩니다. 이러한 모든 서비스에는 관련 포트 및 프로토콜이 함께 제공됩니다.

아래 표는 일반적인 도메인 컨트롤러에서 사용할 가능성이 높은 포트와 프로토콜 중 열어 두어야 하는 포트와 프로토콜을 보여줍니다. 이는 악의적인 공격자가 이용할 수 있는 공격 표면이 넓어지는 것을 의미합니다. 문제는 공격 표면을 줄이기 위해 포트를 닫기로 결정하면 Active Directory가 제대로 작동하지 않는다는 것입니다.

도메인 컨트롤러 경로

여기서 전제는 위협 행위자가 비록 낮은 수준의 권한을 가지고 있더라도 이미 시스템이나 네트워크에 무단으로 액세스할 수 있다는 것을 의미하는 침해 가정 철학과 일치합니다. 예를 들어 피싱을 통해 사용자 계정이 손상되어 비즈니스 이메일 침해(BEC)로 이어질 수 있습니다. 이는 또한 위협 행위자가 더 높은 권한의 계정으로 접근하여 도메인 컨트롤러와 같은 시스템을 장악하려고 시도할 가능성이 높다는 것을 의미합니다.

이 패턴에 따른 가상의 공격 흐름을 살펴보겠습니다:

초기 공격은 직원에게 피싱 이메일을 보내는 방식으로 이루어집니다. 이 피싱 공격에는 직원이 속아 넘어가는 가짜 Office 365 OneDrive 로그인 링크가 포함되어 있습니다. 이러한 링크는 자바스크립트 실행 및 일부 취약점과 함께 Windows 파워쉘을 활용하는 메모리 전용 멀웨어를 자동으로 실행합니다. 그러면 감염된 사용자의 Windows 노트북에서 공격자에게 리버스 셸 명령 및 제어(C&C) 백도어가 다시 공격자에게 전달됩니다. 이것이 이 글의 '위반을 가정한다'는 전제의 출발점입니다.

이 단계까지의 공격은 대부분 자동화되어 있으므로 공격자는 새로운 셸에 대한 C&C 알림을 받게 되며, 따라서 새로운 손상된 컴퓨터가 발견될 가능성이 높습니다. 또한 사용자 계정, 권한, 네트워크 리소스 액세스 등 침해된 시스템의 전체 세부 정보에 대해서는 대부분 알지 못합니다. 공격자에게 ATT&CK 검색 단계가 중요한 이유입니다.

ATT&CK: Discovery

직원 엔드포인트든 워크로드든 단일 시스템에서 도메인 컨트롤러로 피벗하려면 가장 먼저 해야 할 일은 무엇인가요?

ATT&CK가 발견 단계에서 말했듯이 "환경을 파악해 보세요."  

공격자는 시스템 사용자, 실행 중인 프로세스, 파일/디렉토리/그룹 멤버십 및 세션 정보를 파악하는 것부터 시작합니다.

포트 스캔을 위한 NMAP과 같은 도구는 원격 컴퓨터에서 어떤 서비스가 수신 대기 중인지 파악하여 악용할 수 있는지를 파악할 수 있는 옵션입니다.  또한, 블러드하운드는 도메인 컨트롤러로 가는 가장 빠른 방법을 파악하기 위해 Active Directory 환경을 매핑하는 데 사용할 수 있습니다.

이러한 도구는 공격에 사용되어 왔지만 내재적인 문제점을 안고 있습니다. 트래픽을 생성하는 타사 도구로 너무 많은 관심을 끌고 있습니다. 이들은 수다스럽고 다소 노골적이기 때문에 보안 시스템에 탐지될 수 있습니다.

공격자는 도메인이 결합된 엔드포인트 또는 워크로드에 액세스할 수 있는 경우 "" 을 사용하는 것이 가장 좋습니다. 이렇게 하면 엔드포인트에 기본으로 제공되는 도구를 사용하며 네트워크에 노이즈를 발생시키지 않습니다.

공격자는 많은 사람들이 익숙한 기본 CLI 명령으로 시작하여 쉽고 은밀하게 자신의 위치와 다음에 수행할 수 있는 작업을 파악할 수 있습니다.  

도메인에 가입된 클라이언트 컴퓨터에서 누가미와 같은 명령을 사용하면 시스템 소유자 또는 사용자를 검색할 수 있으며 아래와 유사한 출력을 표시합니다.

이를 통해 공격자는 침해된 시스템의 계정 프로필을 작성하여 해당 계정이 액세스할 수 있는 항목을 확인할 수 있습니다.  공격자는 해당 컴퓨터가 속한 Active Directory 그룹을 간단히 살펴봄으로써 사용자가 예를 들어 재무팀에 속해 있다는 사실을 파악할 수 있습니다. 이들은 금융 파일 공유에 액세스하여 악용할 가능성이 높다는 것을 알고 있거나, 금융 데이터를 노리는 경우 컴퓨터의 파일을 즉시 조사할 수도 있습니다.

또한 위협 행위자는 네트워크 사용자 및 연결된 스위치와 같은 간단하면서도 효과적인 명령을 사용하여 감염된 컴퓨터가 가입한 도메인 컨트롤러의 이름과 도메인 컨트롤러에 존재하는 사용자 계정 목록을 검색할 수 있습니다.

여기에서 도메인 컨트롤러로 가는 경로에 도움이 될 수 있는 중요한 세부 정보가 명확하게 나와 있습니다.

많은 사람들이 익숙한 다른 간단한 명령으로는 공격자가 기본 게이트웨이와 네트워크, 서브넷, DNS 및 DHCP 정보를 파악할 수 있는 ipconfig /all 및 netstat -rn이 있습니다.  또한 라우팅 테이블을 통해 도달 가능한 범위를 확인할 수 있습니다. 이를 통해 공격자는 네트워크 수준의 연결에 대한 기본 맵을 작성할 수 있는 충분한 정보를 얻을 수 있습니다. 침해된 컴퓨터가 도메인 컨트롤러 또는 DNS 서버와 동일한 서브넷에 있는지 여부를 해독할 수 있습니다. 따라서 플랫 네트워크 아키텍처에서도 보안이 네트워크에 종속되지 않고 워크로드에 따라 달라지는 마이크로 세분화 접근 방식이 필수적입니다. 서브넷이나 위치에 관계없이 도메인 컨트롤러처럼 워크로드를 추적하는 보안.

또한 추가 서브넷과 라우트 및 해당 게이트웨이를 해독하고 네트워크 공유 서버 이름 등의 역 DNS 세부 정보로 라우팅 정보를 확인할 수도 있습니다.

대부분의 조직에서는 같은 팀 내 직원들이 정보를 공유하고 때로는 보관하기 위해 네트워크 공유를 사용합니다. 위협 행위자는 인터넷 사용과 같은 기본 제공 유틸리티의 Windows 네트워크 공유 세부 정보를 활용하여 파일 서버 또는 도메인 컨트롤러를 찾을 수 있습니다. 또한 이 정보를 손상되거나 에스컬레이션된 계정과 결합하여 AMDIN$ 또는 C$와 같은 숨겨진 Windows 네트워크 공유에 액세스할 수도 있습니다. 로컬 SMB 네트워크 또는 SMB 네트워크에 연결된 유효한 원격 액세스 VPN 연결을 통해 다른 컴퓨터로 멀웨어를 쉽게 확산시키는 데 사용할 수 있습니다.

이 정보를 통해 이제 아래에서 Windows에서 액세스할 수 있는 공유 및 서버를 확인할 수 있습니다. 공격자가 자신의 통제하에 있는 손상된 시스템에 대한 정보를 조금 더 확보하면 다음 행동 계획을 수립할 수 있습니다.

이 예에서 사용자는 노트북의 로컬 관리자로, NIC 목록에 VPN 어댑터가 있고 해당 VPN 애플리케이션이 있지만 도메인 관리자 액세스 권한은 없습니다. 도메인 컨트롤러에 액세스하는 것이 핵심 목표이므로 공격자는 측면 이동에 사용할 수 있는 권한 상승을 시도하는 등 몇 가지 옵션이 있습니다. 권한을 에스컬레이션할 수 있는 다른 계정이 시스템에 없는 경우 해당 계정을 확보해야 할 가능성이 높습니다. 공격자는 침해된 계정과 컴퓨터의 신뢰성을 활용하여 조직의 이메일 도메인 내에서 더 많은 표적 피싱 공격을 보낼 수 있습니다. 또한 공격 대상 시스템에 인위적인 결함이 발생하여 감염된 컴퓨터에서 '관리자 권한으로 실행'하는 IT 관리자와의 원격 지원 세션을 통해 IT 지원 요청을 강제할 수도 있습니다. 위협 행위자는 단호하고 인내심이 강하며 일반적으로 원하는 것을 얻기 위해 수단과 방법을 가리지 않는 경향이 있습니다.

지금까지는 PowerShell이나 WMI와 같은 더 강력한 기본 기능도 사용하지 않았다는 점에 유의하세요. 이는 최신 운영 체제에서와 마찬가지로 레거시 운영 체제에서도 여전히 얻을 수 있는 정보의 양을 의도적으로 지적하기 위함입니다. 예를 들어, 공격자는 여전히 PowerShell과 같은 시스템 도구를 사용하여 네이티브 원격 액세스의 가능성을 테스트하여 측면 이동 및 피벗을 지원하기 위해 어떤 시스템에 원격으로 액세스하는지 확인할 수 있습니다.

파워쉘 원격 기능은 컴퓨터 이름 매개 변수를 실행할 수 있는 Enter-PSSession과 같은 명령과 다양한 기타 cmdlet을 통해 또 다른 검색 및 측면 이동 기능을 제공합니다. 전자는 WinRM(HTTP 5985 및 HTTPS 5986)을 활용하고 후자는 보다 보편적인 RPC를 활용합니다.

도메인 컨트롤러의 중요성을 잘 알고 있고, 침입이 발생했다는 것을 알고 있으며, 이제 공격자가 간단한 CLI 명령과 가장 중요한 생활 기법(엔드포인트나 네트워크 보안 도구에 잡음을 발생시키지 않는)을 사용하여 환경을 파악하고 위치를 알아내는 방법에 대해 더 잘 이해하게 되었습니다.

다음 게시물에서는 공격자가 도메인 컨트롤러에 도달하기 위해 발견 후 보이는 측면 이동에 대해 살펴보겠습니다.