팔로우 
요약
Persistent Security 팀은 서명된 Windows 유틸리티인 esentutl.exe를 악용하여 T1003.002 자격 증명 덤핑 기술 탐지를 우회하는 새로운 방법을 설명합니다. esentutl.exe를 사용하여 VSS 관련 플래그를 통해 도구는 Microsoft Defender와 같은 일반적인 덤핑 방법과 같은 방식으로 트리거하지 않고 SYSTEM 레지스트리 하이브를 복사할 수 있습니다. SAM and SYSTEM 레지스트리 하이브를 복사할 수 있으며, 이는 일반적인 덤핑 방법과는 다릅니다.
조사
연구자들은 reg save, vssadmin 섀도우 복사본 생성, 직접 파일 복사 등을 포함한 기존의 세 가지 접근 방법을 사용하여 하이브를 덤프하는 실험을 했고, Defender가 각각을 차단하는 것을 발견했습니다. 그런 다음 AI를 사용한 변형 테스트를 통해 대안 경로를 식별했습니다. reg save, vssadmin 섀도우 복사본 생성 및 직접 파일 복사이며, Defender가 각각을 차단하는 것을 발견했습니다. 그런 다음 AI 기반 변형 테스트를 통해 대안 경로를 식별했습니다. esentutl.exe 내장된 VSS 기능을 통해 하이브에 접근하여 추출하면서 기존의 Defender 탐지를 피할 수 있었습니다.
완화
권장 방어책에는 AppLocker 또는 WDAC를 통해 esentutl 실행을 제한하고, /vss 플래그를 사용하는 esentutl 실행을 탐지하기 위해 Sysmon 규칙을 생성하며, 정상적인 시스템 동작 외부에서 시작된 섀도우 복사본 활동을 모니터링하는 것이 포함됩니다. 조직은 또한 로컬 관리자 계정에 LAPS를 배포하고 운영적으로 필요하지 않은 경우 VSS를 비활성화해야 합니다. esentutl.exe through AppLocker or WDAC, creating Sysmon rules to detect esentutl executions that use the /vss flag, and monitoring for shadow copy activity initiated outside normal system behavior. Organizations should also deploy LAPS for local administrator accounts and disable VSS where it is not operationally required.
대응
If esentutl.exe 플래그와 함께 실행되어 관련 파일에 쓰기가 발생하는 것이 관찰되면, 방어자는 영향을 받은 호스트를 격리하고, 메모리 및 레지스트리 증거를 수집하며, 자격 증명 덤핑이 발생했는지를 확인하고 재발 방지를 위한 권장 정책 통제를 적용해야 합니다. /vss flag and writing to files associated with SAM or SYSTEM, defenders should isolate the affected host, collect memory and registry evidence, confirm whether credential dumping occurred, and apply the recommended policy controls to prevent recurrence.
graph TB %% Class Definitions classDef action fill:#99ccff classDef builtin fill:#cccccc classDef file fill:#ffdd99 %% Nodes action_esentutl_exec[“<b>행동</b> – <b>T1218.002 시스템 바이너리 프록시 실행</b><br/>esentutl.exe를 /y /vss 옵션과 함께 실행하여 볼륨 섀도 복사본 생성”] class action_esentutl_exec action tool_esentutl[“<b>도구</b> – <b>이름</b>: esentutl.exe<br/><b>설명</b>: Extensible Storage Engine 관리를 위한 Windows 내부 유틸리티”] class tool_esentutl builtin action_copy_hives[“<b>행동</b> – <b>T1003 OS 자격 증명 덤프</b><br/>섀도 복사본에서 SAM 및 SYSTEM 하이브 파일을 복사”] class action_copy_hives action action_store_unsecured[“<b>행동</b> – <b>T1552.001 파일 내 자격 증명</b><br/>덤프된 하이브 파일을 디스크에 저장하여 오프라인 분석 수행”] class action_store_unsecured action file_sam[“<b>파일</b> – sam_dump<br/><b>내용</b>: 비밀번호 해시를 포함한 SAM 하이브”] class file_sam file file_sys[“<b>파일</b> – sys_dump<br/><b>내용</b>: 부트 키를 포함한 SYSTEM 하이브”] class file_sys file %% Connections action_esentutl_exec –>|uses| tool_esentutl action_esentutl_exec –>|leads_to| action_copy_hives action_copy_hives –>|uses| tool_esentutl action_copy_hives –>|creates| file_sam action_copy_hives –>|creates| file_sys file_sam –>|used_by| action_store_unsecured file_sys –>|used_by| action_store_unsecured
공격 플로우
탐지
LOLBAS Esentutl (명령행)
보기
의심스러운 VSSADMIN 활동 (명령행)
보기
가능한 SAM/SYSTEM/SECURITY 덤핑 (명령행)
보기
섀도우 복사를 통한 의심스러운 SAM/SECURITY/NTDS.dit 복사 (명령행)
보기
SAM 하이브 우회를 위한 VSS로 Esentutl 실행 탐지 [Windows Sysmon]
보기
Esentutl과 WMI 섀도우 복사를 통한 SAM 하이브 추출 우회 [Windows 프로세스 생성]
보기
시뮬레이션 실행
전제 조건: 텔레메트리 및 기준선 프리플라이트 체크가 통과해야 합니다.
합리적 근거: 이 섹션은 탐지 규칙을 트리거하기 위해 고안된 적 기술 (TTP)의 정확한 실행을 자세히 설명합니다. 명령 및 내러티브는 식별된 TTP를 직접 반영하여 탐지 논리에 의해 기대되는 정확한 텔레메트리를 생성하는 것을 목표로 해야 합니다.
-
공격 내러티브 및 명령:
침해된 Windows 호스트에 발판을 마련한 공격자는 일반적으로 모니터링하는 자격 증명 덤핑 도구를 트리거하지 않고 자격 증명 해시를 수집하려고 합니다. 공격자는 내장된esentutl.exe바이너리를/vss스위치와 함께 사용하여 시스템 볼륨의 섀도우 복사본을 생성하고 보호된 SAM 하이브를 추출합니다. 단계는 다음과 같습니다:- 스냅샷 내보내기를 위한 임시 디렉토리를 생성합니다.
- 를 호출하여
esentutl.exe오버라이트 및/y플래그와 함께 SAM 하이브 경로를 대상으로 합니다./vss플래그를 사용하여 SAM 하이브 경로를 대상으로 합니다. - 내보낸 SAM 파일을 공격자의 제어 하에 있는 위치로 복사합니다.
- (선택 사항) 법의학 발자국을 줄이기 위해 임시 스냅샷 파일을 정리합니다.
이 시퀀스는 Sysmon ProcessCreate 이벤트를 생성하며, Image가
로 끝나고 CommandLine이문자열을 포함하여 탐지 규칙을 충족시킵니다.esentutl.exeand문자열을 포함하여 탐지 규칙을 충족시킵니다.를 포함합니다./vss를 포함합니다. -
회귀 테스트 스크립트:
# ---------------------------------------------- # esentutl을 사용하여 VSS 기반 SAM 추출 시뮬레이트 # ---------------------------------------------- $tempDir = "$env:TEMPVSS_Export" New-Item -ItemType Directory -Path $tempDir -Force | Out-Null # SAM 하이브의 경로 (읽기 전용 복사본이 내보내질 것입니다) $samHive = "$env:SystemRootSystem32configSAM" $outputFile = Join-Path $tempDir "SAM_copy.edb" # esentutl을 VSS와 함께 실행하여 SAM 하이브 내보내기 $esentPath = "$env:SystemRootSystem32esentutl.exe" $arguments = "/y /vss `"$samHive`" `"$outputFile`"" Write-Host "Running: $esentPath $arguments" & $esentPath $arguments # 내보내기 성공 여부 확인 if (Test-Path $outputFile) { Write-Host "SAM 하이브가 $outputFile에 내보내졌습니다." } else { Write-Warning "내보내기 실패 또는 파일이 생성되지 않았습니다." } # 스냅샷 파일 정리 (옵션, OS 동작에 따라 다름) # 참고: VSS 스냅샷 파일은 일반적으로 내보내기 후 자동 삭제됩니다. -
정리 명령:
# 임시 내보내기 디렉토리 및 파일 제거 $tempDir = "$env:TEMPVSS_Export" if (Test-Path $tempDir) { Remove-Item -Recurse -Force -Path $tempDir Write-Host "정리 완료: $tempDir 제거됨." } else { Write-Host "정리가 필요 없음; 디렉토리가 발견되지 않음."