Microsoft의 최근 연구에서는 위험한 사후 악용 기술에 주목합니다. 골든 dMSA. 이 새로운 공격 방법은 도메인 컨트롤러의 SYSTEM 수준 액세스를 남용하여 핵심을 타겟으로 하는 랜섬웨어를 포함한 지속적인 페이로드를 실행합니다. Active Directory위임된 관리 서비스 계정(dMSA)을 하이재킹함으로써 공격자는 기존 자격 증명을 손상시키지 않고도 액세스할 수 있습니다.
원래 Windows Server 2025에 도입되었습니다. 위임된 관리 서비스 계정(dMSA) 서비스 계정 보안의 주요 발전입니다. 정적 비밀번호 기반 계정은 여전히 취약한 반면, Kerberoasting 공격dMSA는 검증된 시스템에 직접 액세스를 바인딩하여 인증 모델을 전환합니다. Active Directory (기원 후).
이 기계 중심 접근 방식은 다음을 제거합니다. 자격 증명 도난 사용자가 관리하는 비밀번호 대신 기기 ID에 대한 액세스를 연결하여 명시적으로 권한이 부여된 기기만 계정을 활용할 수 있도록 합니다. 그러나 악용 후 상황에서 dMSA가 악용될 경우, 공격자는 신뢰할 수 있는 고권한 인프라 내에서 악성 코드를 실행하는 데 이를 사용할 수 있습니다.
이 블로그에서는 Golden dMSA 공격 흐름이 작동하는 방식, 여러 위험을 초래하는 이유, 조직이 보안을 유지할 수 있는 방법을 분석합니다. 기계 ID 공격자가 하기 전에.
골든 dMSA란 무엇인가요?
Golden dMSA는 공격자가 장기적으로 액세스할 수 있도록 하는 사후 악용 기술입니다. Active Directory 위임된 관리 서비스 계정(dMSA)과 그룹 관리 서비스 계정(gMSA)에 대한 유효한 비밀번호를 생성하여 AD(관리형 서비스) 환경을 구축합니다.
이 방법은 공격자가 도메인 관리자 또는 도메인 컨트롤러의 시스템 수준 권한과 같은 권한 있는 접근 권한을 이미 획득한 후에야 실행 가능합니다. 공격자는 이러한 접근 방식의 결함을 악용할 수 있습니다. 서비스 계정 비밀번호가 생성됩니다. 이 프로세스에는 가변성이 제한적인 예측 가능하고 시간 기반 요소가 포함되어 있어 정확한 비밀번호를 쉽게 역공학하고 재현할 수 있습니다.
공격자는 오프라인에서 자격 증명을 생성하고 도메인 전체에서 중요한 서비스 계정을 가장하여 일반적인 보안 제어 및 비밀번호 순환 메커니즘을 우회할 수 있습니다.
골든 dMSA 공격이 전개되는 방식
골든 dMSA 공격은 일반적으로 공격자가 환경에 발판을 마련하고 권한을 확대한 후 시작됩니다. 이 단계에서 이 방법은 은밀한 지속성과 광범위한 측면 운동 가로질러 Active Directory.
일반적인 골든 dMSA 공격은 다음과 같이 발생합니다.
1. 초기 접근 및 권한 상승
공격자는 도메인 내의 시스템을 손상시키고 도메인 컨트롤러의 도메인 관리자 또는 SYSTEM 수준 액세스 권한으로 권한을 확대합니다. 이는 주로 피싱, 자격 증명 도용 또는 잘못된 구성을 악용하는 방법을 사용합니다.
2. KDS 루트 키 추출
특권 액세스를 통해 공격자는 KDS(키 배포 서비스) 루트 키, 즉 중요한 암호화 비밀을 추출합니다. Active Directory 관리 서비스 계정에 대한 비밀번호를 생성합니다.
3. 서비스 계정 열거
공격자는 포리스트 전체에서 위임된 관리 서비스 계정(dMSA)과 그룹 관리 서비스 계정(gMSA)을 식별합니다. 이는 일반적으로 LDAP 또는 기타 디렉터리 도구를 사용하여 계정 이름과 관련 식별자를 쿼리하는 과정을 포함합니다.
4. 오프라인 비밀번호 생성
비밀번호 생성 알고리즘의 취약점으로 인해 공격자는 Golden dMSA와 같은 도구를 사용하여 경고를 발생시키지 않고도 값을 무차별 대입 공격하여 유효한 비밀번호를 생성할 수 있습니다.
5. 공격 후 영향: 시스템 수준 랜섬웨어 배포
서비스 계정의 자격 증명을 확보한 공격자는 도메인 컨트롤러에 다시 진입하여 SYSTEM 수준의 권한으로 작업할 수 있습니다. 여기에서 다음과 같은 작업을 수행할 수 있습니다.
- LSASS와 같은 핵심 프로세스를 조작합니다(예: 추가 자격 증명 덤핑 또는 주입).
- 배포 랜섬 도메인 전체에 접근할 수 있는 중앙의 신뢰성 높은 머신에서.
- 다른 시스템과 인프라로 측면 이동합니다.
이 공격 단계는 도메인 컨트롤러에서 실행되는 랜섬웨어가 일반적으로 광범위한 도메인 신뢰를 포함하고 빠르게 확산될 수 있기 때문에 매우 중요합니다. 대부분의 EDR 솔루션은 특히 도메인 컨트롤러에서 시스템 수준 작업에 대한 가시성이 제한적입니다. 더욱 심각한 것은 서비스 계정 활동이 표준 보안 솔루션으로는 감지되지 않는 경우가 많다는 것입니다.
Golden dMSA가 기존 보안 솔루션을 우회하는 방법
골든 dMSA는 침투 자체가 아니라, 침투 후 어떤 행위를 할 수 있는지 때문에 특히 위험합니다. 사후 익스플로잇 기법이기 때문에, 대상 도메인 컨트롤러가 익스플로잇을 시도할 때쯤이면 대부분의 보안 솔루션은 이미 공격 범위를 벗어납니다.
공격자가 합법적인 자격 증명과 높은 권한을 사용하여 공격하기 때문에 탐지가 특히 어려워집니다. 공격자가 시스템 수준의 접근 권한을 획득하면, EDR이나 바이러스 백신과 같은 일반적인 보안 도구로는 이러한 권한이 부여된 환경에서 가시성을 제공하거나 제어를 강화하는 데 어려움을 겪습니다.
측면 이동은 일반적인 관리자 활동과 섞여 악의적인 행위와 일상적인 도메인 작업을 구분하기 어렵게 만들기 때문에 문제가 됩니다. 이 단계에서는 맬웨어나 익스플로잇이 반드시 관련되지 않으므로, 시그니처 기반 또는 행동 기반 탐지 시스템이 경보를 전혀 발생시키지 않을 수 있습니다.
간단히 말해, 공격자가 경계 내부에 침입하여 Golden dMSA를 활용하면 일반적인 보안 계층은 저항력이 거의 없기 때문에 조기 감지와 권한 경계 강화가 중요합니다.
Silverfort'의 골든 dMSA 예방 접근법
Golden dMSA와 같은 기존 보안 도구가 종종 부족한 사후 악용 시나리오에서도 Silverfort 도메인 컨트롤러에 대한 직접 및 간접 액세스를 보호합니다. MFA 그리고 공격자가 환경 내부로 침입하는 것을 적극적으로 차단하는 엄격한 실시간 액세스 정책을 시행합니다.
도메인 컨트롤러에 대한 관리자 액세스에 MFA 적용
Silverfort 조직이 시행할 수 있도록 함 MFA on 도메인 컨트롤러에 대한 모든 액세스 시도
- 원격 데스크톱 프로토콜(RDP) 세션
- PsExec의 처형
- SMB 파일 공유 액세스
RDP 및 PsExec와 같은 기존에 보호되지 않은 액세스 포인트에서 MFA를 적용함으로써 Silverfort 할 수 있는 능력을 가지고 있다 사용자가 MFA를 통해 신원을 확인하도록 요구합니다.공격자가 환경 내에서 측면으로 이동하는 것을 방지하는 데 도움이 될 수 있습니다. 이는 공격자가 Golden dMSA에서 생성된 자격 증명을 사용하여 권한 있는 액세스를 수행하는 것을 방해하여 초기 침해 이후에도 공격 진행을 효과적으로 차단합니다.
도메인 컨트롤러에 대한 직접 Windows 로그인에 대한 MFA 보호
Silverfort 다음을 포함하여 도메인 컨트롤러에 대한 모든 대화형 로그인에 MFA를 적용할 수 있는 기능을 제공합니다.
- 로컬 콘솔 로그인
- 원격 데스크톱 프로토콜(RDP) 세션
- 유효한 도메인 자격 증명을 사용한 직접 로그인
이러한 중요한 접근 지점에서 MFA를 시행함으로써 Silverfort 공격자가 유효한 자격 증명을 소지하고 있더라도 도메인 컨트롤러에 대한 무단 액세스를 차단합니다. 이 기능은 골든 티켓, 패스더해시(Pass-the-Hash) 또는 측면 운동로그인 시 MFA를 요구하면 공격 체인이 조기에 차단되어 도메인 컨트롤러가 고위험 대상에서 안전한 엔드포인트로 전환됩니다.
실시간 접근 시행
Silverfort 실시간 분석을 수행합니다 인증 환경 전반의 트래픽을 분석하여 사용자 신원, 기기 상태, 액세스 프로토콜 및 행동 패턴의 신호를 상호 연관시킵니다. 이를 통해 신원 계층에서 정확한 시행 결정을 내릴 수 있으며, 이를 통해 다음과 같은 작업을 수행할 수 있습니다.
- 유효한 자격 증명을 사용하는 경우에도 도메인 컨트롤러와 같은 중요 시스템에 대한 승인되지 않거나 오용된 액세스 경로를 차단합니다.
- 알려진 관리자 동작 기준선과의 편차를 분석하여 PsExec, PowerShell 또는 기타 측면 이동 유틸리티의 예상치 못한 사용과 같은 도구 기반 이상을 감지합니다.
- 위험 상황에 맞춰 접근 정책을 적용하여 측면 이동을 조기에 차단하고, 공격자가 민감한 목표물에 도달하기 전에 상황이 악화되는 것을 방지합니다.
측면 이동을 막기 위한 가상 펜싱
Silverfort 사용자뿐만 아니라 다음을 위한 가상 펜싱 기능을 적용할 수 있습니다. 인간이 아닌 정체성이러한 정책은 명시적인 액세스 경계를 설정하고 ID 유형(사용자 또는 서비스 계정), 역할, 소스 시스템, 액세스 방법, 프로토콜과 같은 상황적 요인을 기반으로 이동을 제한합니다.
ID 컨텍스트에 대한 가시성이 부족한 기존 네트워크 분할과 달리 Silverfort 인증 계층에서 정책을 시행합니다. 이를 통해 공격자가 합법적인 자격 증명이나 시스템 수준 권한을 사용하는 경우에도 자격 증명 기반 이동을 차단하는 실시간 정책 시행이 가능합니다.
Silverfort의 접근 방식은 다음을 보장합니다.
- 인간 사용자는 자신에게 명시적으로 할당된 시스템과 작업 부하에만 액세스할 수 있으므로 도메인에 가입된 컴퓨터 간의 일괄 액세스가 불가능합니다.
- dMSA, gMSA 및 기타 비인간 신원을 포함한 서비스 계정은 상호 작용이 허용되는 머신, 서비스 또는 앱을 정의하는 가상 펜싱 보호 정책의 적용을 받습니다. 무단 서비스 간 접근 시도는 완전히 거부됩니다.
- RDP, PsExec 등의 대화형 도구나 예약된 작업, 서비스 시작 등의 자동화된 프로세스를 통한 측면 이동은 실시간으로 평가되며, 사전 정의된 정책에 부합하지 않는 한 차단됩니다.
이러한 제어를 ID 및 인증 흐름에 적용함으로써 Silverfort 서비스 계정과 관련된 사각지대를 제거합니다. 권한 있는 사용자 전통적으로 확인되지 않은 채로 움직인다완전히 침해된 특권 환경에서도 측면 이동 위험을 줄입니다.
측면 이동 중지는 인증 계층에서 시작됩니다.
골든 dMSA는 어떤 경계도 본질적으로 안전하지 않으며, 공격자는 기회가 주어지면 언제든 침해할 수 있다는 사실을 일깨워줍니다. 진짜 문제는 다음에 무슨 일이 일어나는가, 특히 시스템 수준 접근 권한이 있는 도메인 컨트롤러에 접근할 때입니다.
그렇기 때문에 실시간 신원 확인 기능을 최우선으로 활용하여 보안을 강화해야 합니다. 사후 공격 기법을 방어하기 위해 조직은 엔드포인트나 네트워크뿐 아니라 인증 계층에도 보안 제어를 적용해야 합니다.
Silverfort 이것을 가능하게 합니다. 시행함으로써 최소 특권실시간으로 인증을 모니터링하고 사용자 및 서비스 계정 액세스를 모두 제어합니다. Silverfort 자격 증명이 합법적인 경우에도 측면 이동 및 서비스 남용을 방지합니다.
Golden dMSA 및 기타 ID 기반 공격으로부터 방어하는 방법을 알아보세요. 통화 예약 당사의 신원 보안 전문가 중 한 명에게 문의하세요.
