Kerberoasting은 Kerberos 인증 프로토콜을 활용하는 정교한 공격 방법입니다. Active Directory (기원 후). Kerberos 잠재적으로 안전하지 않은 네트워크에서 보안 인증을 용이하게 하도록 설계되었으며, 자신도 모르게 이러한 공격에 공범자가 되어 공격자가 중요한 시스템 및 데이터에 무단으로 액세스할 수 있는 백도어를 제공합니다.
Kerberoasting은 구체적으로 대상을 지정합니다. 서비스 계정 AD 환경 내에서 인증된 사용자라면 누구나 모든 서비스에 대해 TGS(Ticket Granting Service) 티켓을 요청할 수 있다는 사실을 활용합니다.
공격자는 이 기능을 활용하여 SPN(서비스 사용자 이름)과 연결된 TGS 티켓을 요청한 다음 오프라인으로 작업하여 암호화된 티켓을 해독하고 서비스 계정 암호를 추출합니다. 이 기술을 통해 공격자는 네트워크 방어를 우회하고 탐지되지 않은 제한된 영역에 접근할 수 있습니다.
Kerberoasting이 가하는 위협은 은밀한 성격과 큰 영향을 미치는 침해 가능성으로 인해 매우 중요합니다. 네트워크에 AD를 활용하는 조직 인증 효과적인 방어를 구현하려면 권한 부여가 이러한 위협 벡터를 인식해야 합니다.
Kerberoasting(Kerberoasting의 메커니즘, 의미, 예방 전략)을 이해하는 것은 조직의 디지털 자산을 보호하는 임무를 맡은 사이버 보안 및 IT 전문가에게 매우 중요합니다.
Kerberoasting 작동 방식
Kerberoasting은 Kerberos 인증 프로토콜을 활용합니다. Active Directory (AD) 네트워크에서 사용자 및 서비스를 인증하는 데 사용됩니다. 이 공격을 이해하려면 네트워크 전체에서 보안 통신을 보장하기 위해 티켓 기반 메커니즘에서 작동하는 Kerberos 자체에 대한 기본적인 이해가 필요합니다.
Kerberos 인증 프로토콜
Kerberos의 핵심은 사용자가 로그인에 성공하면 얻을 수 있는 TGT(티켓 부여 티켓)입니다. 그런 다음 TGT는 다양한 네트워크 서비스에 액세스하기 위한 TGS(Ticket Granting Service) 티켓을 요청하는 데 사용됩니다. 이러한 서비스는 SPN(서비스 사용자 이름)으로 식별됩니다. 보안을 위해 설계된 시스템이지만 해당 아키텍처로 인해 의도치 않게 악용의 문이 열립니다.
공격 벡터
Kerberoasting은 도메인 내의 인증된 사용자가 SPN에 정의된 모든 서비스에 대해 TGS 티켓을 요청할 수 있다는 사실을 활용합니다. 공격자는 합법적인 사용자로 가장하여 서비스 계정의 비밀번호를 사용하여 암호화된 서비스에 대한 TGS 티켓을 요청합니다. 이 공격은 암호화된 티켓을 오프라인으로 전환하고 크래킹을 시도하여 서비스 계정의 비밀번호를 알아내는 공격자의 능력에 의존합니다.
이 프로세스에는 다음 단계가 포함됩니다.
- 서비스 계정 검색: 공격자는 AD에서 다음을 검색합니다. 사용자 계정 서비스 계정을 나타내는 연결된 SPN과 함께.
- TGS 티켓 요청: 합법적인 사용자의 자격 증명을 사용하여 공격자는 식별된 사용자의 AD 도메인 컨트롤러에서 TGS 티켓을 요청합니다. 서비스 계정.
- 티켓 추출 및 크래킹: 그런 다음 공격자는 TGS 티켓의 암호화된 부분을 추출하고 오프라인 무차별 대입 또는 비밀번호 크래킹 도구를 사용하여 서비스 계정의 비밀번호를 알아냅니다.
효과적인 이유
Kerberoasting은 네트워크에 대한 직접적인 암호 무차별 대입 시도와 같은 다른 형태의 공격과 연관될 수 있는 경고를 트리거하지 않고 표준 사용자 권한으로 수행할 수 있기 때문에 특히 효과적입니다. 더욱이, 비밀번호 크래킹 노력의 오프라인 특성은 여러 번의 로그인 시도 실패와 같은 의심스러운 활동을 식별하기 위해 네트워크가 일반적으로 사용하는 탐지 메커니즘을 회피합니다.
이 공격은 Windows AD 환경 내 Kerberos 프로토콜 구현의 심각한 취약점, 즉 서비스 계정 암호의 보안성과 강도에 대한 의존성을 강조합니다. Kerberoasting의 조용하고 은밀한 특성을 고려할 때 공격자가 중요한 서비스 및 데이터에 액세스할 수 있도록 함으로써 조직에 심각한 위협이 됩니다.
위협 환경
조직 네트워크에서는 Kerberoasting 공격이 흔하고 성공적이며 이는 사이버 보안의 심각한 취약성을 보여줍니다. 공격자가 방법론을 개선함에 따라 Kerberoasting은 은밀함과 효율성의 결합으로 인해 여전히 매력적인 공격으로 남아 있습니다. 복잡성을 견딜 수 있는 방어책을 고안하려면 이 위협이 어떻게 작동하는지 이해하는 것이 중요합니다.
Kerberoasting 공격의 확산
Kerberoasting은 부분적으로 Windows의 편재성으로 인해 일반적인 공격 방법이 되었습니다. Active Directory (AD) 기업 환경에서는 공격 실행이 상대적으로 단순합니다. PowerSploit의 Invoke-Kerberoast 모듈이나 Rubeus와 같은 도구를 사용하면 기술적으로 덜 정교한 공격자도 이러한 공격에 액세스할 수 있습니다. 국가가 후원하는 행위자 및 범죄 집단에 의한 주목할 만한 위반을 포함한 실제 사건은 Kerberoasting이 가하는 지속적인 위협을 강조합니다.
Kerberoasting의 성공에 기여하는 요소
- 취약한 비밀번호 정책: 서비스 계정에는 거의 변경되지 않는 취약하거나 기본 비밀번호가 있는 경우가 많아 Kerberoasting의 주요 대상이 됩니다.
- 가시성 및 모니터링 부족: 많은 조직에서는 Kerberoasting 공격의 초기 징후를 감지하는 데 필요한 AD 환경에 대한 가시성이 부족합니다.
- 잘못된 구성 및 과도한 권한을 가진 계정: 부적절하게 구성된 서비스 계정과 불필요한 권한을 가진 계정은 공격 표면 커베로스팅용.
- 은밀성: Kerberoasting 공격은 높은 권한이 필요하지 않고 일반적으로 모니터링되는 여러 번의 실패한 인증 시도를 트리거하지 않고 수행할 수 있기 때문에 감지하기 어렵습니다.
Kerberoasting 공격의 예
Kerberoasting 공격은 최근 몇 년 동안 관찰된 가장 정교한 사이버 공격의 일부였으며, 이는 조직이 보안에 실패할 경우 관련된 높은 위험을 보여줍니다. Active Directory (AD) 환경이 적절합니다.
워카오 작전
한 가지 주목할 만한 예에서 Wocao 작전의 배후에 있는 위협 행위자는 PowerSploit 프레임워크의 Invoke-Kerberoast 모듈을 활용하여 Kerberoasting 공격을 수행했습니다. 이 작업은 공격자가 암호화된 서비스 티켓을 요청한 후 오프라인으로 Windows 서비스 계정의 비밀번호를 해독할 수 있는 능력을 보여주었습니다.
위반된 계정은 다음 용도로 사용되었습니다. 측면 운동 네트워크 내에서 발생하여 추가적인 악용과 민감한 정보에 대한 접근을 가능하게 합니다. 이 사건은 고도화된 지속적 위협(APT) 캠페인에서 케르베로스팅의 효과를 입증하며, 이러한 공격으로부터 서비스 계정을 보호하는 것이 얼마나 중요한지 보여줍니다.
SolarWinds의 타협
또 다른 중요한 사건은 SolarWinds 위반공격자는 네트워크에 액세스하기 위해 다양한 기술 중에서 Kerberoasting을 활용했습니다. 이 경우 공격자는 TGS(Ticket Granting Service) 티켓을 획득했습니다. Active Directory SPN(서비스 사용자 이름)을 찾아 오프라인으로 크랙하여 액세스 권한을 승격합니다.
이번 침해 사건은 서비스 계정이 케르베로스팅 공격에 취약하다는 점을 부각시켰을 뿐만 아니라, 수많은 유명 조직과 정부 기관에 영향을 미치는 등 광범위한 파급 효과를 가져올 가능성도 보여주었습니다.
Wizard Spider의 Kerberoasting 사용
Wizard Spider로 알려진 범죄 집단은 Kerberoasting을 무기의 일부로 사용하는 것으로 보고되었습니다. 그들은 Rubeus 및 Mimikatz와 같은 도구를 사용하여 Kerberoasting을 통해 AES 해시 및 서비스 계정 자격 증명을 훔쳤습니다. 이 기술을 통해 그들은 손상된 네트워크에 대한 액세스와 제어를 유지하고 배포를 촉진할 수 있었습니다. 랜섬 그리고 다른 악성 페이로드도 포함됩니다. 위자드 스파이더의 활동은 케르베로스팅을 악용하는 범죄 사례를 보여주며, 여러 분야의 조직에 미치는 위험성을 강조합니다.
Kerberoasting 공격의 이러한 예는 조직이 AD 환경을 적극적으로 모니터링하고 보호해야 하는 중요한 필요성을 보여줍니다. 국가가 후원하는 APT 그룹부터 범죄 집단에 이르기까지 이 기술을 활용하는 공격자의 정교함과 다양성은 강력한 비밀번호 정책, 서비스 계정에 대한 정기적인 감사, 의심스러운 활동을 식별하기 위한 탐지 메커니즘 구현 등 강력한 보안 조치의 중요성을 강조합니다. Kerberoasting 시도.
Kerberoasting 감지 및 방지
Kerberos 인증 프로토콜의 합법적인 기능을 악의적인 목적으로 이용하는 Kerberoasting을 탐지하고 방지하려면 다각적인 접근 방식이 필요합니다.
조직은 전략 계획, 강력한 보안 프로토콜 및 지속적인 모니터링을 통해 Kerberoasting에 대한 취약성을 크게 줄일 수 있습니다.
예방을 위한 모범 사례
- 신원 기반 활용 제로 트러스트 보안 정책 : 제로 트러스트 보안 모델을 구현하면 경계 내 위치에 관계없이 기본적으로 네트워크 내의 어떤 엔터티도 신뢰되지 않도록 할 수 있습니다. 이 원칙은 인간 사용자와 서비스 계정 모두에 적용되며, 모든 액세스 시도에서 확인을 요구함으로써 Kerberoasting을 시도하는 사람을 포함하여 공격자가 사용할 수 있는 공격 표면을 줄일 수 있습니다.
- 강력한 비밀번호 정책 구현모든 계정, 특히 SPN(서비스 주체 이름)이 있는 서비스 계정에 대해 복잡하고 긴(이상적으로는 25자 이상) 암호를 사용하고 정기적으로 변경하도록 하십시오. 암호 관리자 및 gMSA(그룹 관리 서비스 계정)와 같은 도구를 활용하면 운영 효율성을 저해하지 않고 강력한 암호 보안을 유지할 수 있습니다.
. - 사용 다중 요소 인증 (MFA): MFA를 통해 보안 계층을 추가하면 서비스 계정 자격 증명이 손상된 경우에도 무단 액세스 위험을 크게 줄일 수 있습니다. MFA 관리자 권한이 있는 계정뿐 아니라 모든 사용자 계정에 표준으로 적용되어야 합니다.
. - 원칙을 준수한다 최소 권한 (PoLP): 계정, 특히 서비스 계정에는 해당 기능에 필요한 권한만 부여해야 합니다. 접근 권한을 제한하면 공격자가 계정을 탈취했을 때 발생할 수 있는 피해를 최소화할 수 있습니다.
. - 포괄적인 신원 보안 전략 개발: 견고하다 신원 및 액세스 관리 프레임워크는 Kerberoasting을 포함한 다양한 위협으로부터 보호할 수 있습니다. 이 전략에는 서비스 계정에 대한 정기적인 감사가 포함되어야 합니다. 권한 있는 액세스 관리 (PAM)과 계정 사용에 대한 가시성과 제어 기능을 제공하는 보안 솔루션의 도입
.
Kerberoasting을 탐지하는 기술
- 비정상적인 Kerberos 활동 모니터링: 짧은 시간 내에 SPN에 대한 대량의 TGS 요청과 같은 Kerberos 인증 요청의 비정상적인 패턴을 감지하기 위해 로깅 및 모니터링을 구현합니다.
- 서비스 계정 사용 감사: 정상적인 패턴을 벗어난 서비스나 데이터에 액세스하는 등 무단 사용 징후가 있는지 서비스 계정 활동을 정기적으로 검토합니다. 이 검토는 다음을 식별하는 데 도움이 될 수 있습니다. 손상된 계정 측면 이동이나 데이터 유출에 사용되기 전에.
- 고급 보안 분석 활용: 기계 학습 및 행동 분석을 활용하면 Kerberoasting의 미묘한 징후를 식별하여 합법적인 서비스 계정 사용과 잠재적으로 악의적인 활동을 구별하는 데 도움이 될 수 있습니다.